Palo Alto Networks révèle que les attaques ciblées livrant un nouveau malware ont exploité un exploit précédemment associé au groupe de piratage Turla lié à la Russie.

Estimé opérer pour le compte du Service fédéral de sécurité russe (FSB) et également connu sous le nom de Waterbug, Venomous Bear et KRYPTON, Turla a été le premier acteur de menace connu à avoir abusé d’un pilote de périphérique tiers pour désactiver l’application de la signature du conducteur (DSE) , une fonctionnalité de sécurité introduite dans Windows Vista pour empêcher le chargement de pilotes non signés.

Souvent appelé CVE-2008-3431, l’exploit de Turla, qui visait un pilote VirtualBox signé (VBoxDrv.sys v1.6.2) pour désactiver DSE et charger des pilotes de charge utile non signés, a en fait abusé de deux vulnérabilités, mais une seule a été corrigée. Une deuxième version de l’exploit cible uniquement la vulnérabilité inconnue.

Maintenant, Palo Alto Networks révèle que la même faille de sécurité non corrigée est utilisée abusivement par un acteur de menace inconnu non lié à Turla, pour exploiter les nouvelles versions de VirtualBox VBoxDrv.sys conducteur aussi.

L’adversaire a ciblé au moins deux organisations russes différentes en 2017 en exploitant la version 2.2.0 du pilote, probablement parce que cette itération n’était pas connue pour être vulnérable. Les attaquants ont déployé une famille de malwares jusque-là inconnue, que les chercheurs ont nommée AcidBox.

«Puisqu’aucune autre victime n’a été trouvée, nous pensons qu’il s’agit d’un malware très rare utilisé uniquement dans des attaques ciblées», explique Palo Alto Networks.

Un élément complexe de malware faisant partie d’un ensemble d’outils plus important, AcidBox est probablement associé à un acteur de menace avancé et pourrait encore être utilisé aujourd’hui, à condition que l’attaquant soit toujours actif.

«Cependant, nous prévoyons qu’il a été réécrit dans une certaine mesure. Sur la base des informations dont nous disposons, nous ne pensons pas que cet acteur inconnu de la menace soit lié à Turla, à l’exception de l’exploit utilisé », Palo Alto Networks, qui fournit une description détaillée …