События

Эксплоит для 0-day в MS Office связан с конфликтом на востоке Украины

Эксплоит для 0-day в MS Office связан с конфликтом на востоке Украины

На этой неделе в рамках «вторника исправлений» Microsoft устранила уязвимость в Office (CVE-2017-0199). Проблема позволяет злоумышленникам выполнить скрипт Visual Basic, содержащий команды PowerShell, если жертва откроет RTF-документ со встроенным эксплоитом. Как сообщают эксперты FireEye, за несколько месяцев до выхода патча данная уязвимость эксплуатировалась сразу в нескольких хакерских кампаниях.

CVE-2017-0199 использовали как кибершпионы, так и хакеры, жаждущие наживы. В январе и марте 2017 года с ее помощью злоумышленники инфицировали системы жертв вредоносным ПО FINSPY (также известен как FinFisher) и LATENTBOT. Схожесть в реализации вредоносов наталкивает на мысль, что они были созданы на базе одного исходного года.

25 января начались атаки на русскоговорящих пользователей с применением содержащих эксплоит документов, замаскированных под приказ Министерства обороны РФ и учебное пособие, якобы изданное в Донецкой народной республике. Документы эксплуатировали уязвимость CVE-2017-0199 для заражения систем шпионским ПО FINSPY производства известной компании Gamma Group, специализирующейся на продаже правительствам инструментов для слежения.

Документ СПУТНИК РАЗВЕДЧИКА.doc (MD5: c10dabb05a38edd8a9a0ddda1c9af10e) представлял собой вредоносную версию широкодоступного учебного пособия. Примечательно, данная версия была якобы выпущена в ДНР. Исследователям FireEye не удалось идентифицировать жертв вредоносной кампании.

С 4 марта начались атаки с использованием LATENTBOT. Вредоносное ПО предназначено для похищения учетных данных и используется киберпреступниками ради финансовой выгоды. LATENTBOT представляет собой модульное обфусцированное ПО, исследуемое FireEye с декабря 2015 года. Помимо учетных данных, вредонос также способен похищать информацию с жестких дисков, отключать антивирусные решения и предоставлять хакерам удаленный доступ к зараженной системе.

10 апреля киберпреступники модифицировали свою инфраструктуру для распространения TERDOT вместо LATENTBOT. По данным специалистов Proofpoint, уязвимость также эксплуатировалась операторами ботнета Dridex для распространения банковского трояна.

Источник

Автор: Сергей Куприянов
13.04.2017 (09:46)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.