Kompanija Kaspersky Lab otkrila je napade koji, najverovatnije, koriste ranjivost nultog dana (zlonamerni program koji omogućava dodatnim malverima da se neprimetno instaliraju) za InPage text editor. InPage je softverski paket koji upotrebljavaju ljudi i organizacije širom sveta koji govore Urdu i arapski jezik. Ranjivost je korišćena u napadu na banke u nekoliko azijskih i afričkih zemalja.
Softver InPage u velikoj meri upotrebljavaju mediji i štamparije, kao i državne i finansijske ustanove kao što su banke, koje koriste tekstove na persijskom ili arapskom jeziku. Prema sajtu InPage, osim Indije i Pakistana, ovaj softver koriste i na hiljade korisnika u drugim zemljama kao što su Velika Britanija, SAD, Kanada, zemlje Evropske unije, Južna Afrika, Bangladeš, Japan i druge oblasti. InPage softver ima skoro 2 miliona korisnika širom sveta.
Istraživači kompanije Kaspersky Lab otkrili su da su napadnute organizacije locirane u Mjanmaru, Šri Lanki i Ugandi.
An example of a spear phishing email containing a malicious InPage document.
Žrtva dobija ranjivost putem i-mejla koji sadrži zaraženi dokument. Nakon uspešnog ispitivanja ranjivosti, malver šalje podatke kontrolnom serveru i zatim preuzima legitimne alatke za daljinski pristup. U pojedinim slučajevima preuzima malver koji je zasnovan na izvornom kodu zloglasnog virusa Trojan ZeuS. Ovaj set alata je tipičan za finansijski sajber kriminal.
Tačan set malicioznih instrumenata koji se nalaze na zaraženim mašinama, kao i kontrolni serveri sa kojih su maliciozni alati preuzeti razlikuju se od žrtve do žrtve. Sve ovo, zajedno sa velikim brojem drugih artefakata, navodi istraživače kompanije Kaspersky Lab da veruju da nekoliko opasnih grupa koristi nulti dan.
Lokalizovani nulti dan
Ovo nije prvi put da je kompanija Kaspersky Lab uočila „lokalne” softvere koji su korišćeni u sajber napadima. Istraživači kompanije Kasperski Lab su 2013. godine primetili sličnu taktiku u napadu koji je pripisan Icefog kampanji. Tada je napadač koristio maliciozne HWP dokumente koji su namenjeni za rad sa Hangul Word procesorom, aplikacijom koja je u širokoj upotrebi u Južnoj Koreji.
„Korišćenjem ranjivosti specifičnih softvera sa relativno niskom globalnom prisutnošću i veoma uskom ciljnom grupom predstavlja jednostavnu taktiku. Napadači prilagođavaju svoje taktike ponašanju mete tako što razvijaju ranjivosti za određene softvere koji nemaju uvek onu vrstu nadzora koju velike softverske kompanije primenjuju na svoje proizvode. S obzirom na to da lokalni softveri nisu zajednička meta tvoraca ranjivosti, proizvođaći ne reaguju na izveštaje o ranjivosti, pa tako postojeće ranjivosti dugo ostaju funkcionalne,” rekao je Denis Legezo, ekspert za bezbednost u kompaniji Kaspersky Lab, tim za globalna istraživanja i analizu u kompaniji Kaspersky Lab (GReAT).
Zahvaljujući širokom opsegu tehnologija, korisnici rešenja kompanije Kaspersky Lab već su neko vreme zaštićeni od ovih napada, a zaštita je uspešno sprečavala veliki broj malicioznih InPage dokumenata. Proizvodi kompanije Kasperski Lab uspešno otkrivaju InPage ranjivost sa nazivom: HEUR:Exploit.Win32.Generic.
Istraživači kompanije Kasperski Lab još nisu naišli na bilo kakav incident koji se odnosi na krađu novca uz pomoć InPage ranjivosti. Međutim, to ne znači da se ovakvi napadi ne dešavaju. Stoga, stručnjaci za bezbednost savetuju finansijske organizacije da provere svoje sisteme i da sprovedu sledeće mere:
- Proverite da li imate korporativni sigurnosni paket koji može da otkriva ranjivosti, kao što je Kaspersky Endpoint Security for Business.
- Nagovestite vašim zaposlenima da ne otvaraju priloge ili URL adrese koje stižu sa nepoznatih mejlova.
- Koristite najnoviju verziju softvera koji upotrebljavate. Izbegavajte softvere za koje se zna da su osetljivi. Kako biste automatizovali ove zadatke koristite Vulnerability Assessment i Patch Management rešenja.
- Pretplatite se na servis koji će vas obaveštavati o mogućim pretnjama, kao što je Kaspersky Lab’s APT servis, kako biste dobili pristup informacijama o najskorijim sajber napadima koji mogu predstavljati pretnju vašoj organizaciji.
- Edukujte svoje zaposlene o sajber bezbednosti. Uzorak malvera koji je onemogućio otkrivanje ranjivosti pronađen je uz pomoć posebnih Yara pravila. Uložite u obrazovanje zaposlenih zaduženih za bezbednost, kako bi oni mogli sami da reše problem i zaštite vašu organizaciju od ciljanih napada.
Više o ciljanim napadima uz pomoć InPage osetljivosti nultog dana pročitajte na blogu Securelist.com