Ρώσοι χάκερ συνελήφθησαν να εκμεταλλεύονται μια ευπάθεια των Windows που επιδιορθώθηκε πρόσφατα ως zero-day σε συνεχιζόμενες επιθέσεις που στοχεύουν ουκρανικές οντότητες.
Δείτε επίσης: Η Google βρήκε ευπάθεια Zero-Day στο SQLite Database Engine
Το ελάττωμα ασφαλείας (CVE-2024-43451) είναι μια ευπάθεια πλαστογράφησης NTLM Hash Disclosure που αναφέρθηκε από ερευνητές ασφαλείας του ClearSky, η οποία μπορεί να εκμεταλλευτεί για την κλοπή του κατακερματισμού NTLMv2 του συνδεδεμένου χρήστη, επιβάλλοντας συνδέσεις σε έναν απομακρυσμένο διακομιστή που ελέγχεται από εισβολείς.
Η ClearSky εντόπισε αυτήν την καμπάνια τον Ιούνιο, αφού παρατήρησε μηνύματα ηλεκτρονικού phishing που είχαν σχεδιαστεί για να την εκμεταλλευτούν. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν υπερσυνδέσμους που θα κατέβαζαν ένα αρχείο συντόμευσης στο Διαδίκτυο, που φιλοξενείται σε έναν διακομιστή που είχε παραβιαστεί στο παρελθόν (osvita-kp.gov[.]ua) που ανήκε στο Τμήμα Παιδείας και Επιστήμης του Δημοτικού Συμβουλίου Kamianets-Podilskyi.
Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή
Νέα ανακάλυψη για τον μεγαλύτερο κρατήρα του Φεγγαριού!
Clone Alpha: Νέο επαναστατικό ανθρωποειδές ρομπότ
Όταν συμβεί αυτό, δημιουργείται μια σύνδεση με έναν απομακρυσμένο διακομιστή για τη λήψη ωφέλιμων φορτίων κακόβουλου λογισμικού, συμπεριλαμβανομένου του εργαλείου απομακρυσμένης πρόσβασης ανοιχτού κώδικα και πολλαπλών πλατφορμών SparkRAT, που επιτρέπει στους εισβολείς να ελέγχουν απομακρυσμένα συστήματα που έχουν παραβιαστεί.
Δείτε ακόμα: Hackers στοχεύουν zero-day ευπάθειες σε PTZ κάμερες
Κατά τη διερεύνηση του περιστατικού, οι ερευνητές ειδοποιήθηκαν επίσης για μια προσπάθεια κλοπής ενός κατακερματισμού NTLM μέσω του πρωτοκόλλου Server Message Block (SMB). Αυτοί οι κατακερματισμοί κωδικών πρόσβασης μπορούν να χρησιμοποιηθούν σε επιθέσεις “pass-the-hash” ή να σπάσουν για να λάβουν τον κωδικό πρόσβασης απλού κειμένου ενός χρήστη.
Η ClearSky μοιράστηκε αυτές τις πληροφορίες με την Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA), η οποία συνέδεσε τις επιθέσεις με χάκερ που ανήκουν σε μια ομάδα απειλών που πιστεύεται ότι είναι Ρώσοι και παρακολουθείται ως UAC-0194.
Η Microsoft επιδιορθώνει την ευπάθεια zero-day των Windows ως μέρος του Patch Tuesday Νοεμβρίου 2024 και επιβεβαίωσε τα ευρήματα της ClearSky, λέγοντας ότι απαιτείται αλληλεπίδραση με τον χρήστη για επιτυχή εκμετάλλευση.
Η εταιρεία λέει ότι το CVE-2024-43451 επηρεάζει όλες τις υποστηριζόμενες εκδόσεις των Windows, συμπεριλαμβανομένων των Windows 10 ή νεότερης έκδοσης και του Windows Server 2008 και άνω.
Η CISA πρόσθεσε επίσης την ευπάθεια στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών της την Τρίτη, ζητώντας τους να ασφαλίσουν τα ευάλωτα συστήματα στα δίκτυά τους έως τις 3 Δεκεμβρίου, όπως ορίζεται από τη δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01.
Δείτε επίσης: Η Lazarus εκμεταλλεύεται zero-day στο Chrome για επιθέσεις
Ένα ελάττωμα zero-day αναφέρεται σε μια ευπάθεια λογισμικού που είναι άγνωστη στους ερευνητές ασφαλείας και ιδιαίτερα στον προμηθευτή λογισμικού. Επειδή είναι αγνώστου ταυτότητας ή χωρίς διεύθυνση, αφήνει τα συστήματα ευάλωτα σε χάκερ που μπορούν να το εκμεταλλευτούν για να διεισδύσουν ή να διακυβεύσουν δεδομένα. Αυτά τα ελαττώματα είναι ιδιαίτερα ανησυχητικά, καθώς δεν προσφέρουν χρόνο για άμυνα, καθιστώντας την ανάπτυξη των επιδιορθώσεων κρίσιμης σημασίας. Οι επαγγελματίες της κυβερνοασφάλειας πρέπει να παραμείνουν σε επαγρύπνηση και να διαθέτουν προορατικότητα για τον εντοπισμό και την άμεση αντιμετώπιση αυτών των απειλών, διασφαλίζοντας ότι τα συστήματα και τα δεδομένα παραμένουν ασφαλή.
Πηγή: bleepingcomputer