Изначально образец вируса был выявлен на машине под управлением 64-битной Windows Server 2008 R2.
Высокоорганизованная хакерская группировка Hurricane Panda, находящаяся, по всей видимости, в Китае и атакующая компании с крупной инфраструктурой, использовала в своих нападениях эксплоит к уязвимости нулевого дня в продуктах Microsoft. При этом длительность нападения составила более 5 месяцев. По данным исследователей из CrowdStrike, первая обнаруженная ими атака была произведена еще весной этого года
Эксперты также отмечают, что изначально образец вируса был выявлен на машине под управлением 64-битной Windows Server 2008 R2. С его помощью удалось выяснить, что нападение начинается с компрометации web-сервера и последующего выполнения вредоносных сценариев Chopper.
Последние позволяют злоумышленникам повысить свои привилегии, для чего также используется инструмент Local Privilege Escalation, эксплуатирующий недавно выявленную уязвимость нулевого дня. В конечном итоге атакующие получают привилегии «SYSTEM» и создают новый процесс с аналогичными правами доступа, с помощью которого осуществляется сбор конфиденциальных данных.
«Хакеры часто используют обнародованные уязвимости повышения привилегий, чтобы получить административный доступ, но настоящие уязвимости нулевого дня применяются довольно редко и потому это нападение вызывает особый интерес», - пояснили исследователи.