Шкідлива програма групи PowerPool використовує нову уразливість

Компанія ESET — лідер у галузі інформаційної безпеки — попереджає про поширення групою кіберзлочинців PowerPool «0-денної» загрози. Нова шкідлива програма використовує уразливість у Microsoft Windows, а саме у функції Advanced Local Procedure Call (ALPC), та дозволяє використати Local Privilege Escalation (LPE).

Про уразливість стало відомо 27 серпня, а вже через кілька днів після цього спеціалісти ESET зафіксували поширення експлойту групою кіберзлочинців PowerPool. Відповідно до даних телеметрії ESET та завантажень VirusTotal цілі загрози зафіксовані у Чилі, Німеччині, Індії, Філіппінах, Польщі, Росії, Великобританії, США та Україні.

Для інфікування жертв група PowerPool використовує ряд інструментів. Одним з них є експлойт, який використовує уразливість ALPC Local Privilege Escalation.

Поширюється шкідлива програма різними способами, серед яких — відправлення електронних листів зі шкідливим програмним забезпеченням у вкладенні. На основі даних телеметрії спеціалісти ESET припускають, що зловмисники не здійснюють масових спам-розсилок, а ретельно підходять до вибору своїх жертв.

Група PowerPool переважно використовує два різних бекдори. Один з них зловмисники застосовують для здійснення початкової розвідки на пристроях жертв. Другий бекдор завантажується на робочі станції, які становлять інтерес для зловмисників. За допомогою цієї шкідливої програми зловмисники можуть виконувати команди, зупиняти процеси, завантажувати файли на комп’ютер жертви та збирати інформацію з пристрою жертви.

Дослідники ESET продовжують відслідковувати використання нової уразливості та повідомлять, які тільки стане відома нова інформація.

Більш детальний аналіз шкідливої програми групи PowerPool та індикатори інфікування доступні за посиланням.