还记得卡巴前一阵子上报微软的在野0day漏洞CVE-2019-0859吗
Windows 0day提权漏洞分析CVE-2019-0859
而实际上,这个0day漏洞并不是攻击者挖掘而得,而是通过向0day漏洞提供商购买从而进行利用。
事实上,卡巴近日披露了一些关于该提供商背后的故事。
卡巴斯基实验室的研究人员表明,在过去的三年里,一名神秘的黑客向至少三个网络间谍组织以及网络犯罪团伙销售Windows 0day漏洞。
证据表明,一些具有国家背景支持的APT组织除了开发自己的内部工具,还会定期从第三方实体购买0day漏洞。
而这次所说的不是NSO,也不是Hacking Team,而是Volodya,一个在2016年就开始售卖0day漏洞的黑客。
而在2016年的时候,该黑客使用昵称为BuggiCorp,其在Exploit.in网络犯罪论坛上出售Windows 0day漏洞后,成为科技新闻网站的头条新闻。
处理BuggiCorp的黑客正在销售影响所有Windows操作系统版本的0day漏洞,这可能允许攻击者将软件进程的权限提升到Windows中可用的最高级别,即SYSTEM权限。
安全公司Trustawave在今年5月发现了该漏洞,其在俄罗斯地下黑客论坛上宣传了9万美元。该论坛帖子的最新更新时间是2016年5月23日,初始价格为95,000美元。
0day影响所有操作系统版本,估计影响超过15亿用户
BuggiCorp还发布了两个YouTube视频,其中包括安装了最新2016年5月安全补丁的Window 10中的应用程序的特权,另一个视频显示他的漏洞利用了微软最新版本中包含的所有安全功能。 EMET工具包。
黑客想要用比特币付款,如果需要,愿意通过论坛的管理员提供托管服务。
BuggiCorp表示,他只会向一个人出售该漏洞,并且买家将获得该漏洞的源代码,一个功能齐全的演示,Microsoft Visual Studio 2005项目文件,以及任何Windows版本的免费未来更新,该漏洞可能无法使用运行。
卖家希望非常清楚他的漏洞利用适用于所有Windows版本,根据微软的统计数据,这可能会影响超过15亿用户。
当时的视频演示截图
主要是当时很少看到黑客在这样一个公共论坛上宣传Windows 0day漏洞,因为这类漏洞交易大部分交易是私下进行的。
虽然BuggiCorp不得不多次降低他的初始要价,从95,000美元到85,000美元,但他最终将漏洞卖给了一个网络犯罪集团,而这次交易帮助开发商树立了声誉。
根据卡巴斯基实验室全球研究与分析团队(GReAT)主任Costin Raiu的说法,BuggiCorp利用这一声誉建立了一个长期的客户,并继续私下出售其他0day,其中一些零售价高达20万美元。
从那以后,卡巴斯基的GReAT团队一直在用“Volodya”代号跟踪黑客,这是黑客有时在其漏洞利用代码中留下的绰号。
黑客至少卖掉了三个0day漏洞给APT组织
Volodya是一个多产的漏洞开发者和0day卖家,卡巴自2015年以来一直在追踪。
Volodya是'Volodimir'的缩写,这是他的一些作品中出现的绰号,卡巴的观察结果表明,Volodya能说流利的俄语,虽然可能是乌克兰语。
但是Volodimir这个单词也不是俄语,而是乌克兰语。
“Volodya似乎是CVE-2019-0859漏洞的作者,卡巴在2019年3月向微软报告,”卡巴斯基研究员说。
这个0day,现在被一个专注于财务重点盗窃的网络犯罪集团FIN系列组织滥用。
但是CVE-2019-0859只是卡巴斯基发现Volodya的最新0day。
另一个是CVE-2016-7255,也是一个Windows漏洞,其与俄罗斯APT组织APT28的活动相关联。
而CVE-2016-7255只是Volodya多年来向APT集团销售的其他几个0day漏洞之一,但黑客也继续与低端网络犯罪团体合作,这些团体也有,一直在购买和使用这些0day。
“除了0day之外,Volodya还开发针对已经修复后的漏洞的攻击利用,例如1day,或利用旧漏洞,这些漏洞被认为是稳定可靠的,并且仍可用于未修补漏洞的计算机。”
出于有所意图和目的,Volodya似乎已经从0day开发并利用作为职业选择,并且已经将相当多的组合附加到他的名字上。
此外,对于Windows本地特权升级0day的价格为200,000美元,以及来自政府情报机构和网络犯罪团伙的既定客户名单,Volodya很可能拥有他自己的开发团队或经纪销售公司,但是没有实锤,仅仅是猜测罢了。
◆来源:黑鸟威胁情报中心
◆本文版权归原作者所有,如有侵权请联系我们及时删除