Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Fałszywa rekrutacja na LinkedIn. Ofiary: pracownik z branży lotniczej oraz dziennikarz. W trakcie ataku wykorzystali podatność w sterownikach Della, co umożliwiło im pełną eskalację uprawnień i niewidzialność

01 października 2022, 13:46 | W biegu | 1 komentarz

Zobaczcie jak w praktyce potrafią działać grupy APT. Zaczęło się od rzekomej rekrutacji do Amazona oraz pliku MS Office ze szczegółami.

Niektórzy czytelnicy już pewnie kręcą nosem – znowu złośliwe makro, co w tym „zaawansowanego”. No więc dokument nie zawierał makra, zawierał za to zewnętrzny template (ładowany z serwerów atakujących) i dopiero ten template zawierał makro.

Dlaczego tak dziwnie? Po to żeby spróbować ominąć antywirusa. W przypadku pracownika holenderskiej firmy z branży lotniczej udało się to osiągnąć.

Dalej atakujący wykorzystali podatność (CVE‑2021‑21551) w sterowniku od Della, działającym na laptopie ofiary. Podatność wprawdzie została załatana w 2021 roku, ale kto by się przejmował tego typu aktualizacjami ;-)

The most notable tool used in this campaign represents the first recorded abuse of the CVE‑2021‑21551 vulnerability. This vulnerability affects Dell DBUtil drivers; Dell provided a security update in May 2021.

Co to za podatność? Umożliwia zapis pamięci jądra systemu Windows z poziomu zwykłego użytkownika. Po co to atakującym? Oczywiście po to żeby przejąć maksymalne uprawnienia na komputerze dla swojego malware, a przy okazji zmylić / wyłączyć dodatkowe mechanizmy ochronne (jak np. antywirus).

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Daniel

    Wiadomo coś więcej o FOLINIE? Bo to dość poważna podatność w MS Office.

    Odpowiedz

Odpowiedz