Высокоорганизованная хакерская группировка Hurricane Panda, находящаяся, по всей видимости, в Китае и атакующая компании с крупной инфраструктурой, использовала в своих нападениях эксплоит к уязвимости нулевого дня в продуктах Microsoft.
При этом, длительность нападения составила более 5 месяцев. По данным исследователей из CrowdStrike, первая обнаруженная ими атака была произведена еще весной этого года.
Эксперты также отмечают, что изначально образец вируса был выявлен на машине под управлением 64-битной Windows Server 2008 R2. С его помощью удалось выяснить, что нападение начинается с компрометации web-сервера и последующего выполнения вредоносных сценариев Chopper. Последние позволяют злоумышленникам повысить свои привилегии, для чего также используется инструмент Local Privilege Escalation, эксплуатирующий недавно выявленную уязвимость нулевого дня.
В конечном итоге атакующие получают привилегии «SYSTEM» и создают новый процесс с аналогичными правами доступа, с помощью которого осуществляется сбор конфиденциальных данных.
Более подробное с описанием уязвимости вы можете ознакомиться по ссылке. Отчет CrowdStrike выложен здесь .
Axarhöfði 14,
110 Reykjavik, Iceland