Water Hydra APT Windows kihasználása
A Trend Micro jelentése szerint a Water Hydra APT a Microsoft Defender SmartScreen sebezhetőségét (CVE-2024-21412) használja ki a pénzügyi piaci kereskedőket célzó kampányaiban. Ezt a biztonsági rést, amelyet a Microsoft már kijavította.
A Trend Micro Zero Day Initiative felfedezte a CVE-2024-21412 sebezhetőséget, amelyet ZDI-CAN-23100 néven követnek nyomon, és figyelmeztették a Microsoftot a Microsoft Defender SmartScreen megkerüléséről, amelyet a fejlett tartós fenyegetés (APT) csoport, amelyet Water Hydra (más néven DarkCasino) néven követ nyomon a Trend Micro, egy kifinomult nulladik napi támadási lánc részeként használt, és amely a pénzügyi piaci kereskedőket célozta meg.
A Trend Micro 2023. december végén kezdte el nyomon követni a Water Hydra csoport által indított kampányt, amely hasonló eszközöket, taktikákat és eljárásokat (TTP-ket) tartalmazott, amelyek internetes parancsikonokkal (.URL) és webalapú elosztott szerzői és verziókezelő (WebDAV) komponensekkel való visszaélést tartalmaztak. Ebben a támadási láncban a fenyegető szereplő a CVE-2024-21412-t használta fel a Microsoft Defender SmartScreen megkerülésére és az áldozatok DarkMe malware-rel való megfertőzésére. A ZDI bug bounty program a Microsofttal együttműködve azon dolgozott, hogy nyilvánosságra hozza ezt a nulladik napi támadást, és biztosítsa a sebezhetőség gyors javítását.
A nulladik napi támadások jelentős biztonsági kockázatot jelentenek a szervezetek számára, mivel ezek a támadások olyan sebezhetőségeket használnak ki, amelyek a szoftvergyártók számára ismeretlenek, és nem rendelkeznek megfelelő biztonsági javításokkal. Az APT csoportok, mint például a Water Hydra, rendelkeznek azzal a technikai tudással és eszközökkel, amelyek segítségével felfedezhetik és kihasználhatják a nulladik napi sebezhetőségeket fejlett kampányokban, és rendkívül pusztító kártevőket telepítenek, mint például a DarkMe.
A szoftverek biztonságosabbá tétele és az ügyfelek nulladik napi támadásokkal szembeni védelme érdekében a Trend Zero Day Initiative biztonsági kutatókkal és szállítókkal együttműködve javítja és felelősségteljesen felfedi a szoftver sebezhetőségeit, mielőtt az APT-csoportok bevethetnék azokat támadások során. A ZDI Threat Hunting csapata proaktívan vadászik a nulladik napi támadásokra a vadonban, hogy megvédje az iparágat.
A Trend Micro megosztotta az azonosításhoz szükséges mutatókat.