Сотрудники словацкой компании ESET, которая занимается разработкой антивирусного программного обеспечения, заявила о том, что группа хакеров PowerPool начали использовать в своих атаках уязвимость «нулевого дня». Опасности подвержены все пользователи OC Windows.
Впервые информация об уязвимости нулевого дня появилась 27 августа 2018 года, и она затрагивает все устройства с OC Windows (начиная с 7 по 10 версии). Компания Microsoft до сих пор не закрыла данную уязвимость.
Данная уязвимость использует интерфейс Advanced Local Procedure Call (ALPC), в планировщике заданий Windows. Хакеры могут повысить права вредоносного кода с уровня обычного пользователя, до системного уровня, с помощью локального обеспечения повышения привилегий (Local Privilege Escalation).
Спустя несколько дней, специалисты из ESET обнаружили и то, что новую уязвимость использует кибергруппа PowerPool, для целевых атак на пользователей из России, Украины, Польши, Германии, Великобритании, США, Индии, Чили и Филиппинах.
Атака проходит через два этапа:
- Хакеры рассылают спам-письма на устройства потенциальных жертв с вирусной программой для первоначальной разведки в системе (сбор информации через выполнения команд, и передачи собранных данных на удаленный сервер).
- После этого, хакеры отбирают нужные им ПК, и устанавливают к нему несанкционированный доступ второго этапа, и используют уязвимость для повышения привилегий в системе до максимального уровня.
Специалисты ESET отмечают, что данные атаки нацелены только на очень узкое количество пользователей.
