WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗ hổng trên Microsoft Office bị lợi dụng trong các cuộc tấn công Latenbot, WingBird
Lỗ hổng 0-day trên Microsoft Office được phát hiện cách đây vài ngày bị khai thác bởi những tin tặc có liên quan đến các dòng malware như Latentbot và WingBird.
Microsoft đã phát hành bản vá, nhưng không kịp ngăn chặn hacker lợi dụng lỗ hổng trong các cuộc tấn công.
Theo các nhà nghiên cứu, cách thức khai thác lỗ hổng này vượt qua được hầu hết các biện pháp bảo vệ có sẵn trước khi bản vá được phát hành và cũng có thể vô hiệu hóa Protected View. Điều này có nghĩa là các cuộc tấn công sử dụng lỗ hổng này không đòi hỏi tương tác thành công với người dùng.
Các nhà nghiên cứu an ninh mạng lại phát hiện những cuộc tấn công như vậy nhằm tạo ra phiên bản mới của Latentbot, một bot có khả năng đánh lừa rất cao đã được kích hoạt từ năm 2013. Bot này có kiến trúc plugin modul cao và cũng có liên quan đến thiết bị thu thập dữ liệu Pony.
Latentbot bao gồm các cơ chế chèn khác nhau cho các hệ điều hành Windows XP (x86) và Windows 7. Nó sử dụng bản vá Attrib.exe và Svchost Code Injection trên Windows XP (x86), nhưng lại chèn mã vào svchost.exe trực tiếp trên máy tính Windows 7.
Một cuộc tấn công khác lợi dụng lỗ hổng này bao gồm hai giai đoạn khai thác và phát tán một biến thể của WingBird (có các đặc tính tương tự như FinFisher). Mã độc cực kỳ “khó nhằn” này chứa nhiều biện pháp chống phân tích, bao gồm một máy ảo tùy chỉnh để làm chậm quá trình phân tích và gần đây có dính dáng tới các hoạt động của một nhóm hacker có tên NEODYMIUM.
Netskope Threat Research Lab cho biết lỗ hổng zero-day Office này cũng có thể liên kết với bộ tải botnet Godzilla. Các nhà nghiên cứu quan sát thấy rằng các IP liên quan đến bộ tải đã chuyển các đoạn mã có liên kết với mã khai thác lỗi này, nhưng cho hay họ "không thể suy ra chiến dịch spam và lỗ hổng zero-day có liên quan" mặc dù do cùng một nhóm đứng đằng sau các cuộc tấn công .
Để bảo vệ mình, người sử dụng Office nên áp dụng các bản vá mới được phát hành càng sớm càng tốt.
Cảnh báo: Lỗ hổng MS Word ảnh hưởng toàn bộ phiên bản Windows
Lỗ hổng 0-Day trên Microsoft Word ảnh hưởng hầu hết các máy tính chạy Windows
Microsoft đã phát hành bản vá, nhưng không kịp ngăn chặn hacker lợi dụng lỗ hổng trong các cuộc tấn công.
Theo các nhà nghiên cứu, cách thức khai thác lỗ hổng này vượt qua được hầu hết các biện pháp bảo vệ có sẵn trước khi bản vá được phát hành và cũng có thể vô hiệu hóa Protected View. Điều này có nghĩa là các cuộc tấn công sử dụng lỗ hổng này không đòi hỏi tương tác thành công với người dùng.
Các nhà nghiên cứu an ninh mạng lại phát hiện những cuộc tấn công như vậy nhằm tạo ra phiên bản mới của Latentbot, một bot có khả năng đánh lừa rất cao đã được kích hoạt từ năm 2013. Bot này có kiến trúc plugin modul cao và cũng có liên quan đến thiết bị thu thập dữ liệu Pony.
Latentbot bao gồm các cơ chế chèn khác nhau cho các hệ điều hành Windows XP (x86) và Windows 7. Nó sử dụng bản vá Attrib.exe và Svchost Code Injection trên Windows XP (x86), nhưng lại chèn mã vào svchost.exe trực tiếp trên máy tính Windows 7.
Một cuộc tấn công khác lợi dụng lỗ hổng này bao gồm hai giai đoạn khai thác và phát tán một biến thể của WingBird (có các đặc tính tương tự như FinFisher). Mã độc cực kỳ “khó nhằn” này chứa nhiều biện pháp chống phân tích, bao gồm một máy ảo tùy chỉnh để làm chậm quá trình phân tích và gần đây có dính dáng tới các hoạt động của một nhóm hacker có tên NEODYMIUM.
Netskope Threat Research Lab cho biết lỗ hổng zero-day Office này cũng có thể liên kết với bộ tải botnet Godzilla. Các nhà nghiên cứu quan sát thấy rằng các IP liên quan đến bộ tải đã chuyển các đoạn mã có liên kết với mã khai thác lỗi này, nhưng cho hay họ "không thể suy ra chiến dịch spam và lỗ hổng zero-day có liên quan" mặc dù do cùng một nhóm đứng đằng sau các cuộc tấn công .
Để bảo vệ mình, người sử dụng Office nên áp dụng các bản vá mới được phát hành càng sớm càng tốt.
Nguồn: Security Week
Tin bài liên quan:
Cảnh báo: Lỗ hổng MS Word ảnh hưởng toàn bộ phiên bản Windows
Lỗ hổng 0-Day trên Microsoft Word ảnh hưởng hầu hết các máy tính chạy Windows