Η εταιρεία κυβερνοασφάλειας Trend Micro έχει ενημερώσει ένα από τα προϊόντα της για να επιδιορθώσει μια ευπάθεια που έχει εκμεταλλευτεί ένας παράγοντας απειλής που συνδέεται με την Κίνα.
Οι δραστηριότητες του ηθοποιού της απειλής έχουν αναλυθεί από την εταιρεία ασφάλειας τελικού σημείου SentinelOne, η οποία παρακολουθεί την ομάδα ως Moshen Dragon. Έχουν βρεθεί ορισμένες επικαλύψεις με ομάδες που παρακολουθούνται από άλλους ως RedFoxtrot και Nomad Panda.
Το SentinelOne ανέφερε στις αρχές Μαΐου ότι οι χάκερ, οι οποίοι φαίνεται να επικεντρώνονται στη διεξαγωγή επιχειρήσεων κυβερνοκατασκοπείας που στοχεύουν οντότητες στην Κεντρική Ασία, έκαναν κατάχρηση προϊόντων προστασίας από ιούς για να φορτώσουν κακόβουλα DLL και να παραδώσουν το κακόβουλο λογισμικό τους.
«Οι ηθοποιοί του Moshen Dragon έκαναν συστηματική κατάχρηση λογισμικού ασφαλείας για να πραγματοποιήσουν κλοπή εντολών αναζήτησης DLL. Το DLL που έχει παραβιαστεί χρησιμοποιείται με τη σειρά του για την αποκρυπτογράφηση και τη φόρτωση του τελικού ωφέλιμου φορτίου, που είναι αποθηκευμένο σε ένα τρίτο αρχείο που βρίσκεται στον ίδιο φάκελο», εξήγησε η εταιρεία κυβερνοασφάλειας.
Η SentinelOne ονόμασε προϊόντα από τις Symantec, Trend Micro, Bitdefender, McAfee και Kaspersky ως στόχο των κυβερνοκατασκόπων, αλλά μέχρι σήμερα μόνο η Trend Micro φαίνεται να έχει εντοπίσει μια ευπάθεια την οποία εκμεταλλεύτηκαν οι εισβολείς.
Σε μια πρόσφατη συμβουλευτική, η Trend Micro είπε ότι επηρεάζεται μόνο το καταναλωτικό προϊόν Trend Micro Security και εφαρμόστηκε μια επιδιόρθωση μέσω του συστήματος ActiveUpdate της εταιρείας στις 19 Μαΐου.
Η εταιρεία δεν βρήκε στοιχεία που να αποδεικνύουν ότι τα εμπορικά ή εστιασμένα σε επιχειρήσεις προϊόντα επηρεάζονται από το ελάττωμα που έγινε αντικείμενο εκμετάλλευσης από τον Moshen Dragon.
Τα τρωτά σημεία εισβολής DLL, τα οποία αξιοποιούν ένα ελάττωμα σχεδιασμού στα Windows, μπορούν συνήθως να χρησιμοποιηθούν από έναν επιβεβαιωμένο εισβολέα για την εκτέλεση κώδικα με αυξημένα δικαιώματα. Αυτοί οι τύποι ελαττωμάτων είναι πολύ συνηθισμένοι. Πριν από μερικά χρόνια, το SafeBreach έδειξε ότι επηρεάστηκαν πολλά προγράμματα προστασίας από ιούς, συμπεριλαμβανομένων αυτών των Trend Micro, Bitdefender, McAfee, Kaspersky και Symantec.
Στις επιθέσεις που παρατηρήθηκαν από το SentinelOne, το Moshen Dragon στόχευσε τον τομέα των τηλεπικοινωνιών στην Κεντρική Ασία, παρέχοντας κακόβουλο λογισμικό όπως το ShadowPad και το PlugX, καθώς και μια κερκόπορτα με το όνομα Gunters.
Δεν είναι ασυνήθιστο οι ευπάθειες σε προϊόντα Trend Micro να γίνονται αντικείμενο εκμετάλλευσης σε στοχευμένες επιθέσεις. Πιο πρόσφατα, η εταιρεία ενημέρωσε τους πελάτες στα τέλη Μαρτίου ότι γνώριζε κακόβουλες επιθέσεις που εκμεταλλεύονται μια ευπάθεια που επηρεάζει το προϊόν της Apex Central.