Экспeрты aнтивируснoй кoмпaнии ESET предупредили о   целевых атаках с   использованием новой, пока не   закрытой производителем уязвимости в   Microsoft Windows. По   данным телеметрии, атаки нацелены на   пользователей в   России, Украине, Польше, Германии, Великобритании, США, Индии, Чили и   на   Филиппинах.

Уязвимость представляет собой локальное повышение привилегий (Local Privilege Escalation), которое позволит выполнять вредоносный код с   максимальными правами. Баг связан с   работой Планировщика задач Windows и   затрагивает версии операционной системы Microsoft Windows с   7-й по   10-ю.

Информация об   уязвимости нулевого дня была раскрыта 27   августа 2018 года. На   момент публикации обновления безопасности отсутствовали.

Всего через два дня после публикации специалисты ESET обнаружили, что эксплойт к   новой уязвимости используется в   целевых атаках кибергруппы PowerPool. Хакеры несколько изменили опубликованный на   GitHub код эксплойта и   перекомпилировали его.

Спам PowerPool. Изображение: ESET

Атака начинается с   рассылки вредоносных спам-писем с   бэкдором первого этапа. Вредоносная программа предназначена для базовой разведки в   системе   — она выполняет команды атакующих и   передает собранные данные на   удаленный сервер.

Если компьютер заинтересовал хакеров, на   нем будет установлен бэкдор второго этапа, обеспечивающий постоянный доступ к   системе. Далее операторы PowerPool используют уязвимость нулевого дня для повышения привилегий. Для перемещения внутри скомпрометированной сети атакующие используют инструменты с   открытым исходным кодом: PowerDump, PowerSploit, SMBExec, Quarks PwDump, FireMaster.

Атаки PowerPool нацелены на   ограниченное число пользователей. Тем не   менее инцидент показывает, что злоумышленники отслеживают тренды и   оперативно внедряют новые эксплойты. Раскрытие информации об   уязвимостях до   выхода обновлений безопасности может послужить причиной массовых кибератак.