Операторы эксплойт-пака Neutrino недолго думали, прежде чем пополнить свой арсенал недавно пропатченной уязвимостью нулевого дня в Internet Explorer. Как сообщают исследователи, Neutrino уже активно эксплуатирует брешь CVE-2016-0189 в скриптовых движках, ранее замеченную в целевых атаках против организаций Южной Кореи. Патч к CVE-2016-0189 был выпущен в составе майского набора обновлений от Microsoft.

В минувший четверг эксперты FireEye в новой блог-записи отметили, что злоумышленники, скорее всего, воспользовались публикацией исходного кода эксплойта. Видимо, стоящая за Neutrino группа по июньскому твиту узнала, что базирующийся в Остине, штат Техас, исследовательский стартап Theori создал PoC-эксплойт для данной уязвимости. После выхода патча исследователи сравнили патченую и непатченую программы и разобрались в уязвимости, выявив основную причину, что позволило разработать концепцию эксплойта.

По свидетельству FireEye, используемый Neutrino эксплойт идентичен созданному Theori; по всей видимости, злоумышленники попросту позаимствовали PoC. Эксплуатация возможна при условии, что на массиве данных отсутствует блокировка, действующая до момента использования. В этом случае проблемы (и в конечном итоге порчи памяти) не избежать, если над массивом уже работает другая функция. Эту уязвимость можно также использовать для удаленного исполнения кода, если потенциальная жертва через IE зайдет на сайт с эксплойтом.

В ходе работы Neutrino оперирует SWF-файлом, в который внедрены несколько эксплойтов, в том числе к CVE-2016-0189. При запуске этот файл сканирует систему в поисках эксплуатируемой уязвимости.

Новый эксплойт в Neutrino обнаружил также французский исследователь Kafeine. В своей записи он привел скриншот процесса загрузки вымогателя Locky после успеха Neutrino, опробовавшего несколько уязвимостей.

Ввиду спада активности лидеров рынка эксплойт-паков Angler и Nuclear авторам вредоносных рекламных и вымогательских кампаний пришлось переключиться на альтернативные варианты — Neutrino, RIG. Так, в прошлом месяце ИБ-компания Proofpoint отметила, что на долю Neutrino, используемого для доставки CryptXXX, приходится 75% наблюдаемого трафика с эксплойт-паков; еще 10% совместно генерируют Neutrino и Magnitude, загружающие другого блокера, Cerber.

Категории: Вредоносные программы, Уязвимости