Группировка TA505, она же Evil Corp, использует в своих атаках поддельные обновления для ПО.
Компания Microsoft
https://twitter.com/MsftSecIntel/sta...98440719355904пользователей о том, что российская киберпреступная группировка TA505 эксплуатирует в своих атаках уязвимость Zerologon.
В зафиксированных специалистами атаках используются поддельные обновления для программного обеспечения, подключающиеся к с C&C-инфраструктуре, которую ИБ-эксперты связывают с группировкой TA505 (CHIMBORAZO в классификации Microsoft). Поддельные обновления способны обходить контроль учетных записей пользователя (UAC) и выполнять вредоносные скрипты с помощью легитимного инструмента Windows Script Host (wscript.exe). В ходе эксплуатации уязвимости злоумышленники используют MSBuild.exe для добавления в Mimikatz функционала Zerologon.
Группировка TA505, также известная как Evil Corp, активна уже почти десять лет и известна в основном своими атаками с использованием банковских троянов и вымогательского ПО. Недавно ИБ-эксперты
https://www.securitylab.ru/news/512241.phpсвидетельства сотрудничества TA505 с северокорейской киберпреступной группировкой Lazarus.
Zerologon (
https://www.securitylab.ru/vulnerability/511062.php ) представляет собой уязвимость повышения привилегий в Windows Server. Проблема связана с использованием ненадежного алгоритма шифрования в механизме аутентификации Netlogon. Zerologon позволяет имитировать любой компьютер в сети в процессе аутентификации на контроллере домена, отключать функции безопасности Netlogon и изменять пароль в базе данных Active Directory контроллера домена.
Недавно Microsoft настоятельно рекомендовала пользователям установить выпущенные ею августовские обновления безопасности, частично исправляющие уязвимость, так как Zerologon уже активно
https://www.securitylab.ru/news/512412.phpхакерами, в том числе
https://www.securitylab.ru/news/512767.php. Августовский патч является лишь первым этапом исправления уязвимости – второго следует ожидать в феврале 2021 года.