Follina okazuje się stanowić zagrożenie dla administratorów systemów na całym świecie w miarę pojawiania się nowych raportów na temat luki wykorzystywanej do dystrybucji programów kradnących informacje, trojanów i oprogramowania ransomware.
Badacze cyberbezpieczeństwa w Proofpoint odkryli, że ugrupowania zagrażające znane jako TA570 wykorzystywały lukę Follina do infekowania punktów końcowych (otwiera się w nowej karcie) za pomocą Qbota, natomiast Grupa NCC odkryła, że Black Basta, dobrze znane oprogramowanie ransomware grupy cyberbezpieczeństwa, nadużyło go jeszcze bardziej .
Qbot, znany również jako Qakbot, Quakbot lub Pinkslipbot, to trojan bankowy i kradnący informacje, który jest używany od ponad dziesięciu lat. Podmioty zagrażające chcące rozpowszechniać złodzieja informacji zazwyczaj wybierają kombinację phishingu i wykorzystania luk w zabezpieczeniach, nakłaniając ludzi do odwiedzenia złośliwych witryn internetowych, które poprzez różne luki w zabezpieczeniach kończą się pobraniem konia trojańskiego na urządzenie.
Pojawia się Czarna Basta
Qbot jest w stanie wyrządzić wiele szkód, zapisywać klucze, wydobywać pliki cookie, blokować procesy, ale działa również jako dropper dla wirusów drugiej fazy, złośliwego oprogramowania (s'otwiera się w nowej karcie) lub oprogramowania ransomware. To jest dokładnie ta ręka, którą rozgrywa Black Basta.
Grupa NCC zaobserwowała stosunkowo nową osobę na rynku oprogramowania ransomware, Black Basta, która wykorzystuje Qbot do bocznego poruszania się po zaatakowanych sieciach i wdraża swoje oprogramowanie ransomware (otwiera się w nowej karcie).
Jak przypomina publikacja, grupa po raz pierwszy pojawiła się w kwietniu tego roku, zwracając się bezpośrednio do Amerykańskiego Towarzystwa Stomatologicznego. Wykorzystuje taktykę podwójnego wymuszenia (kradzież i szyfrowanie wrażliwych danych), aby zmusić ofiary do zapłacenia okupu.
Follina, również oznaczona jako CVE-2022-30190, to luka znaleziona w Narzędziu diagnostycznym pomocy technicznej systemu Windows. Można go wykorzystać do zdalnego wykonywania kodu, powodując, że programy takie jak Office Word wyświetlają narzędzie ze specjalnie zaprojektowanego dokumentu po jego otwarciu.
Microsoft potwierdził istnienie luki i obiecał pracować nad poprawką. Dopóki to nie nastąpi, ugrupowania zagrażające aktywnie wykorzystują tę lukę. Wśród potwierdzonych ataków znajduje się atak na międzynarodową społeczność tybetańską przeprowadzony przez dobrze znanego sponsorowanego przez państwo chińskiego ugrupowania terrorystycznego o nazwie TA413.
Przez: Rejestr (otwiera się w nowej karcie)