Grupo FruityArmor usó vulnerabilidades de día cero recientemente corregidas

---

Una de las cuatro vulnerabilidades de día cero que Microsoft corrigió la semana pasada estaba siendo utilizado por un grupo APT llamado FruityArmor para llevar a cabo ataques dirigidos, evadir sandbox basadas en navegador, y ejecutar código malicioso.


threatpost_KL_windows_GDI_zero_day.png

Anton Ivanov, investigador de Kaspersky Lab, fue reconocido por Microsoft por el descubrimiento de la vulnerabilidad, pero poco se sabe acerca de cómo estaba siendo explotada.



La vulnerabilidad, CVE-2016-3393, se derivó de la forma en que el componente, Windows Graphics Device Interface (GDI), maneja objetos en memoria. GDI es una interfaz de programación de aplicaciones de Windows que ayuda a las aplicaciones que utilizan gráficos y texto con formato en la pantalla e impresora.



Microsoft dijo en el boletín MS16-120, que se considera crítica, ya que un atacante podría aprovechar las múltiples formas de la vulnerabilidad, ya sea engañando al usuario para que abra un documento malicioso, engañar al usuario para que visite un sitio malicioso y luego convencerlo a hacer clic en un vínculo, o engañarlo para que abra un archivo adjunto enviado por correo electrónico.



Según Kaspersky Lab, FruityArmor estaba usando un exploit de navegador para ejecutar código malicioso y en conjunto con el CVE-2016-3393 evadía la sandbox del navegador y elevaba privilegios. La vulnerabilidad podría ser disparada por un módulo que al abrirse, cargue una fuente especializada TTF combinada con el exploit, según Ivanov, que ha escrito una entrada en la APT securelist.



FruityArmor uso un camino distinto al de otros grupos, en el sentido que utiliza una plataforma construida por completo alrededor de PowerShell, el Shell de Microsoft basado en línea de comandos y lenguaje de scripting. No sólo el implantador de malware de dicho grupo está escrito en PowerShell, también lo están los comandos enviados por los operadores.



Una vez dentro, un payload secundario se ejecuta con el privilegio de más alto nivel para lanzar PowerShell y se conecta al servidor de comando y control de los atacantes. A partir de ahí el grupo puede entregar instrucciones de descarga y módulos adicionales, dijo Ivanov.



El módulo que descomprime la fuente TTF maliciosa ha sido visto corriendo directamente en la memoria y cargando el código del exploit desde la memoria. Microsoft dijo que corrigió la vulnerabilidad controlando cómo Windows GDI maneja los objetos en memoria.



Un puñado de ejemplares de malware han sido vistos aprovechándose de PowerShell en los últimos meses. Un troyano bancario en Brazil también descubierto por Kaspersky Lab, fue observado en agosto haciendo uso de scripts de PowerShell para hacer cambios en la configuración del proxy en Internet Explorer para redirigir las conexiones a páginas phishing. El mes pasado, investigadores detectaron junto con FireEye el malware Hancitor, un programa de descarga maliciosa, usando comandos de PowerShell para obtener payloads y evadir la detección.



Kaspersky Lab ha sido acreditado con el descubrimiento de dos vulnerabilidades de día cero en Adobe Flash (CVE-2016-1010 y CVE-2016-4171) y otra vulnerabilidad de elevación de privilegios en Windows, CVE-2016-0165, a principios de este año. La compañía dijo que se abstuvo de publicar demasiada información sobre la APT con el fin de evitar que otros agentes de amenaza adoptaran las tácticas para sus ataques.



"A pesar de que existe una tendencia cada vez mayor en la cual los atacantes utilizan malware genérico, vulnerabilidades de día cero sin parches siguen siendo las más valiosas, atesoradas por los actores de amenazas específicas," dijo el jueves Ivanov.



"Es poco probable que la demanda de este tipo de vulnerabilidades disminuya en el corto plazo, por lo que necesitamos investigadores de seguridad para continuar la caza de estos, tecnologías de protección capaces de detectarlas y desarrolladores de software que respondan rápidamente con una solución. Todos tenemos una responsabilidad compartida para proteger a los clientes"



http://www.seguridad.unam.mx/noticia/?noti=3072