Российская кибергруппировка TA505 использует Zerologon

13.10.2020
Microsoft предупреждает своих пользователей о том, что были зафиксированы атаки с использованием поддельных обновления для программного обеспечения, подключающиеся к с C&C-инфраструктуре, которую ИБ-эксперты связывают с группировкой TA505 (CHIMBORAZO в классификации Microsoft). Поддельные обновления позволяют обойти контроль учетных записей пользователя (UAC) и выполнять вредоносные скрипты с помощью легитимного инструмента Windows Script Host (wscript.exe). В ходе эксплуатации уязвимости злоумышленники используют MSBuild.exe для добавления в Mimikatz функционала Zerologon. О рекомендуемых Microsoft мерах защиты команда Jet CSIRT рассказала в одном из предыдущих дайджестов.