Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Fałszywa rekrutacja na LinkedIn. Ofiary: pracownik z branży lotniczej oraz dziennikarz. W trakcie ataku wykorzystali podatność w sterownikach Della, co umożliwiło im pełną eskalację uprawnień i niewidzialność
Zobaczcie jak w praktyce potrafią działać grupy APT. Zaczęło się od rzekomej rekrutacji do Amazona oraz pliku MS Office ze szczegółami.
Niektórzy czytelnicy już pewnie kręcą nosem – znowu złośliwe makro, co w tym „zaawansowanego”. No więc dokument nie zawierał makra, zawierał za to zewnętrzny template (ładowany z serwerów atakujących) i dopiero ten template zawierał makro.
Dlaczego tak dziwnie? Po to żeby spróbować ominąć antywirusa. W przypadku pracownika holenderskiej firmy z branży lotniczej udało się to osiągnąć.
Dalej atakujący wykorzystali podatność (CVE‑2021‑21551) w sterowniku od Della, działającym na laptopie ofiary. Podatność wprawdzie została załatana w 2021 roku, ale kto by się przejmował tego typu aktualizacjami ;-)
The most notable tool used in this campaign represents the first recorded abuse of the CVE‑2021‑21551 vulnerability. This vulnerability affects Dell DBUtil drivers; Dell provided a security update in May 2021.
Co to za podatność? Umożliwia zapis pamięci jądra systemu Windows z poziomu zwykłego użytkownika. Po co to atakującym? Oczywiście po to żeby przejąć maksymalne uprawnienia na komputerze dla swojego malware, a przy okazji zmylić / wyłączyć dodatkowe mechanizmy ochronne (jak np. antywirus).
~Michał Sajdak
Wiadomo coś więcej o FOLINIE? Bo to dość poważna podatność w MS Office.