Η technologie Kaspersky Lab Automatische Exploitpreventie - dat is geïntegreerd in de meeste beveiligingsoplossingen van het bedrijf voor terminals - heeft een aantal gerichte digitale aanvallen gedetecteerd. De aanvallen werden geprobeerd door een nieuwe malware die misbruik maakte van een wijdverbreide zero-day-kwetsbaarheid in het besturingssysteem Microsoft Windows 10. De bedoeling van de cybercriminelen was om volledige toegang te krijgen tot de systemen van de slachtoffers in het Midden-Oosten. Dit beveiligingslek is op 9 oktober door Microsoft verholpen.
Een zero-day-aanval is een van de gevaarlijkste vormen van cyberdreigingen, omdat het gaat om het uitbuiten van een kwetsbaarheid die nog niet is ontdekt en geïdentificeerd. Als het wordt ontdekt door een bedreigingsagent, kan een zero-day-kwetsbaarheid worden gebruikt om een exploit te creëren die toegang kan geven tot het volledige computersysteem van de bedrijfssector van de aanvaller. Deze vorm van aanval is wijdverbreid door geavanceerde ART-aanvalsagenten en is ook in dit geval gebruikt.
De exploit, die werd ontdekt in Microsoft Windows-software, bereikte de slachtoffers via een PowerShell-achterdeur. De exploit werd vervolgens uitgevoerd om de afzender de nodige privileges te geven om aanwezig te zijn in de systemen van de slachtoffers. De malwarecode was van hoge kwaliteit en geschreven om de efficiënte werking van zoveel mogelijk verschillende Windows mogelijk te maken.
Digitale aanvallen waren de afgelopen zomer gericht op minder dan een dozijn prominente organisaties in het Midden-Oosten. Het team achter de aanval wordt verondersteld FruityArmor te zijn - aangezien de PowerShell-achterdeur in het verleden exclusief door dit team is gebruikt. Direct na de ontdekking meldden experts van Kaspersky Lab de kwetsbaarheid direct bij Microsoft.
Kaspersky Lab-producten hebben deze exploit profylactisch gedetecteerd met behulp van de volgende technologieën:
- Via Kaspersky Lab Behavior Detection Engine en Auto Prevention Spread Tools beschikbaar voor alle beveiligingsproducten van het bedrijf.
- Via Advanced Sandboxing en het antimalware-mechanisme dat beschikbaar is op het Kaspersky Anti Targeted Attack-platform.
Zoals gezegd door Anton Ivanov, Kaspersky Lab-beveiligingsspecialist,
"Als het gaat om zero-day-kwetsbaarheden, is het belangrijk om het dreigingslandschap actief te monitoren op nieuwe exploits. Bij Kaspersky Lab helpt de voortdurende zoektocht naar intelligente bedreigingen ons niet alleen om nieuwe aanvallen te vinden, maar ook om verschillende digitale bedreigingen het hoofd te bieden. We zijn ook van plan om erachter te komen welke kwaadaardige technologieën deze criminelen gebruiken. "Als resultaat van ons onderzoek hebben we een krachtige technologische detectietool waarmee we aanvallen kunnen voorkomen - zoals degene die bedoeld was om deze kwetsbaarheid te misbruiken."
Om zero-day exploits te voorkomen, raadt Kaspersky Lab de volgende technische maatregelen aan:
- Vermijd het gebruik van software waarvan bekend is dat deze kwetsbaar is of die recentelijk is gebruikt bij digitale aanvallen.
- Zorg ervoor dat de software die door uw bedrijf wordt gebruikt regelmatig wordt bijgewerkt naar de nieuwste versies. Beveiligingsproducten met Vulnerability Assessment en Patch Management-mogelijkheden kunnen helpen bij het automatiseren van deze processen.
- Gebruik een krachtige beveiligingsoplossing, zoals Kaspersky Endpoint Security for Business, die is uitgerust met op gedrag gebaseerde detectiemogelijkheden voor effectieve bescherming tegen bekende en onbekende bedreigingen, waaronder expoits.
