วีดีโอ: The Watering Hole (ธันวาคม 2024)
ผู้โจมตีใช้ช่องโหว่ที่ร้ายแรงใน Internet Explorer ในการโจมตีรูโหว่นักวิจัยจาก บริษัท รักษาความปลอดภัย FireEye เตือน ผู้ใช้ที่ถูกหลอกให้เข้าใช้งานเว็บไซต์ที่ติดเชื้อจะถูกโจมตีด้วยมัลแวร์ซึ่งทำให้หน่วยความจำของคอมพิวเตอร์ติดอยู่ในการโจมตีแบบคลาสสิก
ผู้โจมตีได้ฝังโค้ดที่เป็นอันตรายซึ่งใช้ประโยชน์จากข้อบกพร่องอย่างน้อยสองวันใน Internet Explorer ลงใน "เว็บไซต์ที่มีความสำคัญเชิงกลยุทธ์ซึ่งดึงดูดผู้เข้าชมที่สนใจนโยบายความปลอดภัยระดับชาติและระดับนานาชาติ" FireEye กล่าวในการวิเคราะห์เมื่อสัปดาห์ที่แล้ว FireEye ไม่ได้ระบุไซต์เกินความจริงที่ว่ามีฐานอยู่ในสหรัฐอเมริกา
"การหาประโยชน์ดังกล่าวใช้ประโยชน์จากช่องโหว่การรั่วไหลของข้อมูลใหม่และช่องโหว่ในการเข้าถึงหน่วยความจำนอกขอบเขตของ IE เพื่อให้เกิดการเรียกใช้โค้ด" นักวิจัย FireEye กล่าว "มันเป็นช่องโหว่เดียวที่ถูกโจมตีในรูปแบบต่าง ๆ "
ช่องโหว่ดังกล่าวมีอยู่ใน Internet Explorer 7, 8, 9 และ 10 ซึ่งทำงานบน Windows XP หรือ Windows 7 ในขณะที่การโจมตีปัจจุบันมุ่งเป้าไปที่ Internet Explorer 7 และ 8 เวอร์ชันภาษาอังกฤษที่ทำงานบน Windows XP และ Windows 8 จะถูกเปลี่ยนเป็นเป้าหมายรุ่นและภาษาอื่น ๆ FireEye กล่าว
APT ที่ซับซ้อนผิดปกติ
FireEye กล่าวว่าแคมเปญภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT) นี้กำลังใช้เซิร์ฟเวอร์คำสั่งและการควบคุมเดียวกันกับที่ใช้ในการโจมตี APT ก่อนหน้านี้กับเป้าหมายญี่ปุ่นและจีนที่รู้จักกันในชื่อ Operation ViceDog APT นี้มีความซับซ้อนผิดปกติเพราะพบว่ามีการกระจายข้อมูลที่เป็นอันตรายซึ่งทำงานในหน่วยความจำของคอมพิวเตอร์เท่านั้น FireEye พบ เนื่องจากมันไม่ได้เขียนตัวเองลงดิสก์จึงยากที่จะตรวจจับหรือค้นหาหลักฐานทางนิติเวชในเครื่องที่ติดไวรัส
“ ด้วยการใช้การประนีประนอมทางเว็บเชิงกลยุทธ์พร้อมกับกลยุทธ์การส่งมอบข้อมูลในหน่วยความจำและวิธีการซ้อนกันจำนวนมากของการทำให้งงงวยแคมเปญนี้ได้พิสูจน์แล้วว่าประสบความสำเร็จเป็นอย่างมากและเข้าใจยาก” FireEye กล่าว
อย่างไรก็ตามเนื่องจากมัลแวร์ที่ไม่มีดิสก์นั้นอาศัยอยู่ในหน่วยความจำอย่างสมบูรณ์เพียงแค่รีบูตเครื่องเครื่องเพื่อลบการติดเชื้อ ดูเหมือนว่าผู้โจมตีไม่ต้องกังวลเกี่ยวกับการหมั่นแนะนำว่าผู้โจมตีนั้น "มั่นใจว่าเป้าหมายที่ตั้งใจไว้จะเพียงแค่กลับไปที่เว็บไซต์ที่ถูกบุกรุกและติดเชื้อใหม่" นักวิจัย FireEye กล่าว
นอกจากนี้ยังหมายความว่าผู้โจมตีกำลังเคลื่อนไหวอย่างรวดเร็วเนื่องจากพวกเขาต้องการย้ายผ่านเครือข่ายเพื่อไปยังเป้าหมายอื่นหรือค้นหาข้อมูลที่พวกเขาอยู่ก่อนที่ผู้ใช้จะรีบูตเครื่องและกำจัดการติดเชื้อ เคนเวสทินนักวิจัยด้านความปลอดภัยของ Tripwire กล่าวว่า“ เมื่อผู้โจมตีเข้ามาและเพิ่มระดับสิทธิพิเศษพวกเขาสามารถปรับใช้วิธีการอื่น ๆ
นักวิจัยที่ บริษัท รักษาความปลอดภัย Triumfant อ้างว่ามีมัลแวร์ที่ไม่มีดิสก์เพิ่มขึ้นและอ้างถึงการโจมตีเหล่านี้ว่า Advanced Volatile Threats (AVT)
ไม่เกี่ยวข้องกับข้อบกพร่องของ Office
ช่องโหว่ล่าสุดใน Internet Explorer ตลอดทั้งวันนั้นมาจากข้อบกพร่องที่สำคัญใน Microsoft Office เมื่อสัปดาห์ที่แล้ว ข้อบกพร่องในการที่รูปแบบ TIFF ของ Microsoft Windows และ Office เข้าถึงไม่เกี่ยวข้องกับบั๊กของ Internet Explorer นี้ ในขณะที่ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องของ Office อยู่แล้ว แต่เป้าหมายส่วนใหญ่อยู่ในตะวันออกกลางและเอเชีย ผู้ใช้ควรติดตั้ง FixIt ซึ่งจำกัดความสามารถของคอมพิวเตอร์ในการเปิดกราฟิกขณะรอแพตช์ถาวร
FireEye ได้แจ้งเตือน Microsoft เกี่ยวกับช่องโหว่ดังกล่าว แต่ Microsoft ยังไม่ได้แสดงความเห็นต่อสาธารณะเกี่ยวกับข้อบกพร่อง เป็นไปได้ยากมากที่ข้อผิดพลาดนี้จะได้รับการแก้ไขทันเวลาสำหรับการวางจำหน่าย Patch Tuesday ในวันพรุ่งนี้
Microsoft EMET เวอร์ชันล่าสุดซึ่งเป็นชุดเครื่องมือ Enhanced Mitigation Experience Tool ประสบความสำเร็จในการป้องกันการโจมตีที่กำหนดเป้าหมายไปยังช่องโหว่ IE และ Office one องค์กรควรพิจารณาติดตั้ง EMET ผู้ใช้ยังสามารถพิจารณาอัปเกรดเป็น Internet Explorer เวอร์ชัน 11 หรือใช้เบราว์เซอร์อื่นที่ไม่ใช่ Internet Explorer จนกว่าข้อผิดพลาดจะได้รับการแก้ไข
ปัญหา XP
แคมเปญการเจาะรูล่าสุดนี้ยังเน้นว่าผู้โจมตีกำหนดเป้าหมายไปยังผู้ใช้ Windows XP อย่างไร Microsoft เตือนผู้ใช้ซ้ำ ๆ ว่าจะหยุดให้บริการอัปเดตความปลอดภัยสำหรับ Windows XP หลังจากเดือนเมษายน 2014 และผู้ใช้ควรอัปเกรดเป็นระบบปฏิบัติการเวอร์ชันที่ใหม่กว่า นักวิจัยด้านความปลอดภัยเชื่อว่าผู้โจมตีหลายคนกำลังนั่งอยู่บนแคชของช่องโหว่ XP และเชื่อว่าจะมีคลื่นของการโจมตีที่มุ่งเป้าไปที่ Windows XP หลังจากที่ Microsoft ยุติการสนับสนุนสำหรับระบบปฏิบัติการที่ล้าสมัย
"อย่าล่าช้า - อัปเกรดจาก Windows XP เป็นอย่างอื่นถ้าคุณให้ความสำคัญกับความปลอดภัย" Graham Cluley นักวิจัยด้านความปลอดภัยอิสระเขียนไว้ในบล็อกของเขา