SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Новые 0-day растиражированы в эксплойт-паках

14 июня 2018 г., четверг, 02:58

Пополнение арсенала недавно закрытыми брешами в IE и Adobe Flash явно оживило вышедшие из моды инструменты.

Ссылаясь на результаты исследования Malwarebytes, корреспондент Security Week сообщает об изменениях, произошедших на оскудевшем рынке эксплойт-паков в текущем году. Как оказалось, расширение арсенала этих инструментов за счет новых уязвимостей нулевого дня в Internet Explorer и Adobe Flash Player послужило стимулом для повышения их активности.

Сокращение использования наборов эксплойтов наметилось два года назад. С уходом сильнейших игроков рынка — Angler, Nuclear, Neutrino — тенденция к спаду на этом фронте стала заметнее. Достойной замены прежним лидерам так и не нашлось, да и возможности применения эксплойт-паков сильно сузились благодаря укреплению защиты браузеров и повальному отказу от морально устаревшего Flash.

В конце января корейская CERT опубликовала предупреждение об атаках, использующих новый баг удаленного исполнения кода во Flash Player. Не прошло и недели, как Adobe выпустила патч для CVE-2018-4878, однако эта уязвимость сохранила популярность у злоумышленников. По данным Malwarebytes, из эксплойт-паков эту брешь ныне используют RIG и сфокусированный на Южной Корее Magnitude, а также версия Sundown, появившаяся в октябре 2016 года и известная как GreenFlash Sundown.

Уязвимость нулевого дня CVE-2018-8174 в движке VBScript, обнаруженная китайскими экспертами в ходе анализа целевых атак, была добавлена в эксплойт-паки через пару недель после выпуска патча. В RIG и Magnitude она сменила аналогичную брешь CVE-2016-0189, которая все еще используется в атаках. Согласно Malwarebytes, из эксплойт-паков на уязвимость двухлетней давности по-прежнему полагается лишь малозаметный GrandSoft, атакующий только IE. В настоящее время этот тулкит используется для доставки похитителей информации, таких как AZORult.

Новейшая 0-day в Adobe Flash Player — CVE-2018-5002 — в наборы эксплойтов пока не попала, но это лишь вопрос времени. “Поскольку и Flash, и движок VBScript являются продуктами, которые можно использовать для проведения атак через Интернет, их включение в эксплойт-паки вполне естественно”, — цитирует Security Week исследователей.

Согласно наблюдениям, RIG использует новые приобретения для доставки прокси-трояна Bunitu, банкера Ursnif и вредоносного загрузчика Smoke Loader. Эксплойт-пак GreenFlash Sundown обычно участвует в распространении вымогателя Hermes, однако недавно он стал обслуживать также криптоджекинг-кампании.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.252
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.