События

Китайские шпионы эксплуатируют уязвимость в Office для атак на организации в РФ

Китайские шпионы эксплуатируют уязвимость в Office для атак на организации в РФ

По данным исследователей компании Proofpoint, нашумевшая в прошлом месяце уязвимость в Microsoft Office (CVE-2017-0199) эксплуатировалась китайской кибершпионской группировкой TA459 APT в атаках на финансовые организации.

Как уже упоминалось, исправленная в апреле текущего года уязвимость наделала много шума в ИБ-сообществе. Дело в том, что ее использовали как кибершпионы, так и жаждущие наживы хакеры – довольно редкое явление, если верить исследованию стратегического исследовательского центра RAND. С помощью CVE-2017-0199 злоумышленники заражали системы жертв шпионским ПО FinFisher и LATENTBOT, а также банковским трояном Dridex. Кроме того, уязвимость эксплуатировалась иранской кибершпионской группировкой OilRig для атак на израильские организации.

Согласно отчету Proofpoint, TA459 APT атаковала военные и аэрокосмические организации в России и Республике Беларусь. Группировка активна с 2013 года и использует весьма обширный арсенал вредоносного ПО, в том числе PlugX, NetTraveler, Saker, Netbot, DarkStRat и ZeroT. TA459 APT специализируется на атаках на организации в РФ и соседних странах.

По мнению исследователей Proofpoint, недавние атаки являются продолжением более длительной кампании, обнаруженной еще летом 2015 года. Хакеры начали эксплуатировать уязвимость CVE-2017-0199 сразу после выхода исправления.

Атака начинается с получения жертвой фишингового письма с вредоносным документом Word. Когда пользователь открывает файл, загружается HTML приложение, замаскированное под RTF-документ. С помощью PowerShell загружается и выполняется скрипт, извлекающий и запускающий загрузчик ZeroT. Исследователи обратили внимание на реализованные в последней версии вредоноса новые возможности. Одной из них является использование для развертывания приложения легитимной утилиты McAfee вместо Norman Safeground.

Источник

Автор: Сергей Куприянов
4.05.2017 (15:30)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.