Atacuri gemene de zero zile: PROMETHIUM si NEODYMIUM vizeaza persoane din Europa – Microsoft Security

Atacurile vizate sunt de obicei efectuate impotriva indivizilor pentru a obtine proprietate intelectuala si alte date valoroase de la organizatiile tinta. Aceste persoane sunt fie in posesia directa a informatiilor vizate, fie sunt capabile sa se conecteze la retelele in care se afla informatiile. Cercetatorii Microsoft au intalnit grupuri de activitati de amenintare duble care par sa vizeze persoane din motive destul de neobisnuite.

Spre deosebire de multe grupuri de activitati, care aduna de obicei informatii pentru castiguri monetare sau spionaj economic, PROMETHIUM si NEODYMIUM par sa lanseze campanii pur si simplu pentru a aduna informatii despre anumite persoane. Aceste grupuri de activitati sunt, de asemenea, neobisnuite prin faptul ca utilizeaza acelasi exploatare de zero zile pentru a lansa atacuri in acelasi timp in aceeasi regiune. Cu toate acestea, obiectivele lor par a fi persoane care nu impartasesc afilieri comune.

Profiluri de grupuri de activitate

PROMETHIUM este un grup de activitate care a fost activ inca din 2012. Grupul foloseste in principal Truvasys, un malware din prima etapa care este in circulatie de cativa ani. Truvasys a fost implicat in mai multe campanii de atac, unde s-a mascat ca unul dintre utilitarele de calculator obisnuite pentru server, inclusiv WinUtils, TrueCrypt, WinRAR sau SanDisk. In fiecare dintre campanii, malware-ul Truvasys a evoluat cu functii suplimentare – aceasta arata o relatie stransa intre grupurile de activitate din spatele campaniilor si dezvoltatorii malware-ului.

NEODYMIUM este un grup de activitati despre care se stie ca foloseste un malware backdoor detectat de Microsoft ca Wingbird. Caracteristicile acestui backdoor se potrivesc indeaproape cu FinFisher, un pachet de supraveghere comerciala de nivel guvernamental. Datele despre activitatea Wingbird indica faptul ca este de obicei folosita pentru a ataca calculatoare individuale in loc de retele.

Atacuri cronometrate in mod similar

La inceputul lunii mai 2016, atat PROMETHIUM, cat si NEODYMIUM au inceput sa desfasoare campanii de atac impotriva anumitor persoane din Europa. Amandoi au folosit un exploit pentru CVE-2016-4117, o vulnerabilitate in Adobe Flash Player care, la acea vreme, era atat necunoscuta, cat si nepatched.

PROMETHIUM a distribuit link-uri prin mesagerie instant, aratand destinatarii catre documente rau intentionate care invocau codul de exploatare pentru a lansa Truvasys pe computerele victime. Intre timp, NEODYMIUM a folosit e-mail-uri de phishing bine adaptate cu atasamente care livrau codul de exploatare, ducand in cele din urma la instalarea Wingbird pe computerele victime.

In timp ce utilizarea aceluiasi cod de exploatare ar putea fi atribuita coincidentei, momentul campaniilor si localizarea geografica a victimelor dau credinta teoriei ca campaniile sunt cumva legate.

Oprirea exploatarilor in Windows 10

PROMETHIUM si NEODYMIUM au folosit ambele un exploit de zi zero care a executat codul pentru a descarca o sarcina utila rau intentionata. Vizualizarea protejata, o caracteristica de securitate introdusa in Microsoft Office 2010, poate impiedica incarcarea codului Flash rau intentionat la deschiderea documentului. Control Flow Guard, o caracteristica de securitate care este activata implicit in Windows 10 si Microsoft Office 365 pe 64 de biti, poate opri incercarile de exploatare a vulnerabilitatilor coruptiei de memorie. In plus, Credential Guard, o caracteristica optionala introdusa in Windows 10, poate opri utilizarea Wingbird a fisierului de sistem, lsass.exe , pentru a incarca un DLL rau intentionat.

Detectarea comportamentelor suspecte cu Windows Defender Advanced Threat Protection

Windows Defender Advanced Threat Protection (Windows Defender ATP) este un nou serviciu incorporat care este livrat nativ cu Windows 10 si ajuta intreprinderile sa detecteze, sa investigheze si sa raspunda la atacuri tintite avansate. Cand este activat, capteaza semnale comportamentale de la punctele finale si apoi foloseste analize de invatare automata bazate pe cloud si informatii de amenintare pentru a semnaliza activitatile legate de atac.

Wingbird, malware-ul avansat utilizat de NEODYMIUM, are mai multe comportamente care declanseaza alerte in Windows Defender ATP. Windows Defender ATP are mai multe reguli de detectare comportamentala si de invatare automata care pot prinde diverse elemente ale lantului de ucidere a malware-ului. Ca urmare, poate detecta generic, fara nicio semnatura, un atac NEODIMIU in urmatoarele etape:

• Exploatari zero-day care determina Microsoft Office sa genereze si sa execute fisiere rau intentionate
• Exploatari zero-day care incearca sa acorde executabile rau intentionate privilegii mai mari
• Fisiere rau intentionate care incearca sa se stearga
• Fisierele rau intentionate care incearca tehnica de incarcare laterala DLL, in care DLL-urile legitime din folderele non-standard sunt inlocuite cu cele rau intentionate, astfel incat fisierele rau intentionate sa fie incarcate de sistemul de operare sau de aplicatiile instalate
• Fisiere rau intentionate care injecteaza cod in procesele legitime

In exemplul de mai jos, Windows Defender ATP avertizeaza administratorii ca ceva nu este in regula. Le notifica ca un document Office a scapat un fisier executabil pe unul dintre computerele lor – activitate care este foarte probabil parte a unui atac.

In plus, Windows Defender ATP si Office 365 ATP utilizeaza reguli bazate pe IOC si informatii de amenintare specifice PROMETHIUM si NEODYMIUM. Alertele din aceste reguli functioneaza alaturi de briefuri concise si profiluri detaliate furnizate in consola ATP Windows Defender pentru a ajuta administratorii sa solutioneze incercarile de incalcare ale acestor grupuri de activitati.

Pentru mai multe informatii despre serviciul Windows Defender ATP din Windows 10, consultati caracteristicile si capacitatile acestuia si cititi mai multe despre motivul pentru care o abordare de detectare dupa incalcare este o componenta cheie a oricarei stive de securitate a intreprinderii.

Detalii despre PROMETHIUM si NEODYMIUM impreuna cu indicatorii compromisului pot fi gasite in Raportul Microsoft Security Intelligence, volumul 21.

Pentru a testa modul in care Windows Defender ATP va poate ajuta organizatia sa detecteze, sa investigheze si sa raspunda la atacuri avansate, inscrieti-va pentru o incercare gratuita .

Echipa ATP Windows Defender

Vorbeste cu noi

Intrebari, ingrijorari sau informatii despre aceasta poveste? Alaturati-va discutiilor la comunitatea Microsoft si Windows Defender Security Intelligence.

Urmariti-ne pe Twitter @WDSecurity si Facebook Windows Defender Security Intelligence.