AnnaDavydova
Green Team
- 06.08.2016
- 113
- 755
Хакеры теперь используют Rig Exploit Kit для использования уязвимости удаленного выполнения кода в Internet Explorer (IE) (CVE-2018-8174) с интеграцией вредоносного программного обеспечения и криптовалютной обработкой для запуска Monero путем компрометации Windows PC.
Эта уязвимость воздействует на Windows 7 и более поздние версии, и этот мощный эксплойт работает через документы Microsoft Office и Internet Explorer (IE).
Rig Exploit Kit доставляет разнообразный пейлоады для многих семейств вредоносных программ и программ-вымогателей, таких как Ransomware GandCrab и Panda Banker. В этом случае хакеры, стоящие за Rig Exploit Kit, используют эксплойт для CVE-2018-8174.
Rig Exploit Kit может использовать различные уязвимости при помощи уязвимого приложения, такого как Adobe Flash Player и IE.
В основном, Rig компрометирует пользователей, введя вредоносный скрипт/код на скомпрометированные веб-сайты и перенаправляя посетителей на целевую страницу набора эксплойтов, где Rig доставляет опасные вредоносные программы.
В настоящее время Rig использует Internet Explorer (IE), основанный на уязвимости удаленного выполнения кода в (CVE-2018-8174), которая была исправлена в мае и, по сообщениям, активно используется.
Исследователи уже выпустили модуль Metasploit для использования CVE-2018-8174 после того, как код PoC был доступен онлайн.
RIG запускает код CVE-2018-8174 против IE 11 в Windows 7
Инфекционная цепочка кампании Rig Exploit Kit
Rig Exploit Kit в основном применяет этот эксплойт против уязвимого Windows VBScript Engine, который содержит уязвимость удаленного выполнения кода (CVE-2018-8174) с использованием Internet Explorer (IE) и документов Microsoft Office.
Эта уязвимость может привести к повреждению памяти таким образом, что злоумышленник может выполнить произвольный код в контексте текущего пользователя с помощью Rig Exploit Kit.
Первоначально Rig использует кампанию вредоносной рекламы, содержащую скрытый iframe, который перенаправляет жертв на целевую страницу Rig, содержащую эксплойт для CVE-2018-8174 и shellcode.
Согласно исследованию Trend Micro, это позволяет производить удаленное выполнение shellcode, спрятанного на целевой странице. После успешной эксплуатации извлекается загрузчик второго уровня, который, по-видимому, является вариантом SmokeLoader из-за URL-адреса.
Наконец, он загружает исходный пейлоад, используемый для криптовалюты Mine Monero. Наборы эксплойтов (Exploit kits) могут подвергать жертвы разнообразным угрозам - от кражи информации и шифрования файлов до вредоносной добычи криптовалюты. Регулярное применение последних патчей - эффективная защита, - говорит Trend Micro.
Источник: Internet Explorer (IE) RCE Flaw in Rig Exploit Kit to Hack Windows PC
