Microsoft зафиксировала ряд атак с эксплуатацией уязвимости Zerologon, которая доставила за последние недели немало проблем. Эксперты считают, что за кибератаками стоит российская киберпреступная группировка TA505 (другие имена: CHIMBORAZO и Evil Corp). В этой кампании злоумышленники прикрывались фейковыми обновлениями софта, на которые обычно клюют невнимательные пользователи. По словам специалистов, вредоносный код связывался с командным сервером (C&C), который якобы принадлежит TA505. Эта группа ведёт свои операции с 2014 года, специализируясь преимущественно на банковском секторе и ритейле. Киберпреступники известны своими методами, позволяющими обходить защитные решения, а также использованием сразу нескольких типов вредоносных и даже легитимных программ. Например, в их кампаниях были замечены образцы с действительной криптографической подписью. В частности, группировке TA505 приписывают распространение банковского трояна Dridex и программ-вымогателей Locky, BitPaymer, Philadelphia, GlobeImposter и Jaff. По данным исследователей из Prevailion, злоумышленникам удалось проникнуть в сети более тысячи организаций. В последних атаках с использованием Zerologon преступники обходят контроль учётных записей Windows — UAC, а также используют легитимный системный компонент wscript.exe для выполнения вредоносных скриптов.
