Неприятность дня
Эксперты «Лаборатории Касперского» и компаний Mandiant и DBAPPSecurity WeBin Lab выявили и проинформировали Microsoft об уязвимости нулевого дня, которую злоумышленники уже активно эксплуатировали в ходе кибератак.
Уязвимость CVE-2023-28252 выявлена в подсистеме Windows CLFS (Common Log File System) - службе ведения журнала общего назначения, которая может использоваться клиентами ПО, работающими в пользовательском режиме или режиме ядра. Киберпреступники использовали ее для повышения привилегий в уязвимых системах и распространения шифровальщика Nokoyawa.
Microsoft уже выпустила исправления. Агентство по защите инфраструктуры и кибербезопасности США (CISA) предписало всем органам исполнительной власти на территории страны установить обновления до 2 мая 2023 г.
Уязвимость затрагивает все серверные и клиентские версии Windows. Ее эксплуатация возможна только «локально» (что может означать нахождение в одной сети со злоумышленниками), но зато с минимальными усилиями. В случае успеха, злоумышленники получают возможность производить операции с высшими привилегиями Systemи полностью скомпрометировать уязвимую машину.
Шифровальщик Nokoyawa
Что касается шифровальщика Nokoyawa, то группировка, стоящая за ним, активна с февраля 2022 г.
Жертвами атак становились самые разные отрасли, в том числе торговая, энергетическая, производственная, медицинская и информационно-технологическая. Nokoyawa использовалась в вымогательских атаках двойного характера, то есть злоумышленники требовали выкуп и за расшифровку, и за сохранение конфиденциальности украденных данных.
Nokoyawa изначально представляла собой дериватив вредоноса JSWorm, а кроме того включала фрагменты кода шифровальщиков Karma и Nemty. В сентябре 2022 г., однако, она была переписана на языке Rust (вместо изначального C), и стала более заметно отличаться от JSWorm.
Операторы Nokoyawa использовали как минимум шесть эксплойтов, нацеленных на подсистему CommonLogFileSystem с июня 2022 г. В «Лаборатории» отмечают, что все эти эксплойты, по-видимому, разрабатывали одни и те же люди.
С 2018 г. Microsoft нейтрализовала как минимум 32 уязвимости в драйверах CLFS, три из которых - CVE-2022-24521, CVE-2022-37969 и CVE-2023-23376 - эксплуатировались до того, как о них узнал вендор.
«Киберкриминал наращивает техническую подготовленность, что проявляется в использовании эксплойтов к уязвимостям нулевого дня в ходе атак, - отметил , эксперт “Лаборатории Касперского”. - Ранее ими, как правило, пользовались APT-группировки, но теперь и у обычного киберкриминала появились ресурсы для получения доступа к таким уязвимостям и регулярного их использования в атаках».
«Вероятно, в данном случае речь идет об устойчивом партнерстве между разработчиками шифровальщика и разработчиками эксплойтов, - говорит , директор по информационной безопасности компании SEQ. - Информация об уязвимостях нулевого дня - ходовой товар в киберподполье, а шифровальщики - одна из самых прибыльных разновидностей киберкриминала. Такое сотрудничество выглядит вполне естественным. И очень опасным для потенциальных жертв атак».
- Может ли российский BI заменить западные платформы? Докладчики ViRush 2022 готовы рассказать вам о своем опыте.