El objetivo del grupo era obtener acceso a computadoras de varias empresas de defensa y financieras de Estados Unidos mediante la creación de un ataque agujero de agua (watering hole) en el sitio que descargaría un DLL malicioso al usuario.
Los investigadores de Invincea y iSIGHT Partners trabajaron en conjunto para desenterrar información sobre el grupo, que fue capaz de poner en peligro una parte de la página web de Forbes.com que aparece a los usuarios antes de que sean portados a artículos que han hecho clic. La parte de la web, el Pensamiento del Día de Forbes.com, es operado por un widget flash.
Según los investigadores de Invincea el grupo fue capaz de utilizar una vulnerabilidad de día cero para secuestrar ese widget por un corto período, del 28 de noviembre al 1 de diciembre A lo largo de esos cuatro días, el grupo se concentro en los visitantes al sitio que trabajan en firmas de defensa y financieras de Estados Unidos.
Los investigadores de iSight descubrieron que, además de la falla de Flash, los atacantes también explotaron una vulnerabilidad de Internet Explorer, un día cero que ayudó a los atacantes a saltarse la protección Address Space Layout aleatorización (ASLR) en IE 9.
Si bien el fallo de Adobe, un desbordamiento de memoria (CVE-2014 hasta 9163) fue parchado de nuevo el 9 de diciembre, la mitigación de bypass ASLR (CVE-2015 a 0071) fue uno de los muchos parches del pasado Microsoft Patch Tuesday, una actualización que fue especialmente fuerte en soluciones de Internet Explorer.
En una valoración crítica técnica del ayer ataque, Invincea explicó como sitio de Forbes fue capaz de redirigir a una dirección IP, cargar el exploit de flash, y soltar un archivo DLL, hrn.dll, para ser cargado en la memoria del equipo.
"Una vez en la memoria, el exploit obtiene privilegios administrativos y abre un símbolo del sistema," Resumen ejecutivo del Invincea dice: "A continuación, el sistema de la víctima fue escaneada para informar sobre sus actuales niveles de parches, la topologia de la red y la configuración IP completa, incluidas posibles conexiones VPN. "
Fuente: ThreatPost
