Разработчики вредоносного ПО Purple Fox недавно обновили свои функции и теперь нацелены на две новые уязвимости, чтобы получить доступ к сетям, согласно отчету компании по безопасности Proofpoint.
Только в 30.000 году Purple Fox предназначалась для 2018 XNUMX пользователей, согласно предыдущему отчету TrendMicro.
Банда Purple Fox недавно создала новый набор эксплойтов под названием Purple Fox, заменив набор эксплойтов RIG, который ранее использовался для распространения вредоносных программ. Этот шаг позволяет банде устранить расходы рынок комплект, согласно новому отчету Proofpoint.
Кроме того, Purple Fox теперь использует две дополнительные уязвимости. Первая, называемая CVE-2020-0674, связана с уязвимостью памяти двигателя в Internet Explorer что может позволить злоумышленникам получить контроль над системой и выполнить удаленный код. Вторая уязвимость, CVE-2019-1458, - это уязвимость расширения локальных прав в некоторых версиях Windows.
Согласно отчету, в прошлом году Microsoft выпустила исправления для каждой из этих ошибок.
«Поскольку наборы для эксплуатации ослабли, набор для эксплуатации Purple Fox продолжает обновляться и остается актуальным для новых эксплойтов», - сказал Шеррод ДеГриппо, старший директор по исследованиям угроз в Proofpoint.
Вредоносные методы
«Цель этих атак - успешно использовать уязвимую цель, чтобы они могли запускать PowerShell таким образом, чтобы загружать дополнительные вредоносные программы», - говорит ДеГриппо. После разработки вредоносная программа Purple Fox "попадает" в одну Руткит чтобы сохранить настойчивость, добавляет он.
По словам ДеГриппо, Purple Fox эксплуатирует две уязвимости, по крайней мере, с середины июня.
В инциденте, который наблюдали следователи, злоумышленники воспользовались CVE-2020-0674 для запуска вредоносного ПО. атака используя jscript.dll из Internet Explorer, файловую систему, которая позволяет Windows работать. Вредоносный скрипт пытается утечь адрес из приложения с нормальным выражением внутри jscript.dll, сообщает Proofpoint.
Вредоносный JavaScript использует эти просочившиеся адреса для поиска в заголовке переносимого исполняемого файла jscript.dll, который затем используется для поиска описания импорта, содержащего процесс манипулирования и редактирования. памяти требуется загрузить фактический шелл-код, говорится в отчете.
Распространение вредоносного ПО
Purple Fox в основном используется для распространения других типов вредоносных программ, таких как кража информации, криптоминанты, вымогателей и Трояны, которые принадлежат и управляются фактором угрозы, который разрабатывает комплект, и не продаются другими, говорит ДеГриппо.
Использование собственного комплекта для эксплуатации и выявление двух новых уязвимостей показывает, что создатели Purple Fox «принимают решения на основе затрат и быстро переходят к новым разработкам, которые могут позволить им расширить свой рынок». сообщает ДеГриппо.
Greek
Chinese (Simplified)
English
Greek
Russian