Ny skadlig programvara utnyttjar okänt säkerhetshål i Windows

En mycket svårstoppad skadlig programvara har upptäckts av Palo Alto Networks, en av världens största IT-säkerhetsleverantörer.

Programvaran AcidBox har hittills bara använts i riktade attacker vid enstaka tillfällen över de senaste åren. Den använder ett sedan tidigare helt okänt säkerhetshål i Windows vilket gör den ovanligt svår att upptäcka för de som angrips.

AcidBox bygger vidare på en mycket uppmärksammad skadlig programvara som upptäcktes redan år 2014. Bakom denna stod en då okänd aktör som skapade nya hot, Turla Group. Enligt estniska säkerhetstjänsten är Turla en rysk grupp som arbetar åt FSB, den ryska säkerhetstjänsten.

Deras skadliga programvara var det första kända att använda en extern enhet för att sätta den så kallade Driver Signature Enforcement (DSE) ur funktion.

DSE har varit en del av Windows sedan 2007 och ska förhindra okända enheter att få tillgång till operativsystemskärnan (det som kallas kernel). Turla Group hittade alltså ett sätt att runda detta skydd.

Detta säkerhetshål består egentligen av två olika brister i DSE-programvaran, varav bara en senare lagades i samband med en säkerhetsuppdatering. Senare har Turla Group använt nya typer av skadlig programvara som utnyttjar det säkerhetshål som inte lagats.

Under början av 2019 upptäckte Palo Alto Networks att en ny, okänd grupp upptäckt det andra, ännu existerande säkerhetshålet. Detta har kunnat utnyttjas även för senare versioner av Windows. Den okända gruppen har utnyttjat detta för att attackera minst två olika ryska verksamheter i riktade attacker.

Den skadliga programvara som användes kallas av Palo Alto Networks för AcidBox. Den har bara använts några enstaka gånger och då bara i attacker mot enstaka verksamheter. Eftersom den är så pass avancerad och del av ett stort kit av verktyg menar Palo Alto Networks att det är en mycket av avancerad aktör som står bakom. Aktören är sannolikt inte knuten till Turla.

 

Kunder till Palo Alto Networks är skyddade mot dessa angrepp genom att brandväggen känner igen den skadliga programvaran och stoppar den.