ЛК зафиксировала волну целевых атак на организации в Азии

Как сообщают эксперты «Лаборатории Касперского», ряд организаций в странах Азии и Африки стали жертвами атак с использованием уязвимости нулевого дня в InPage. Данное ПО представляет собой текстовый процессор, поддерживающий такие языки, как урду, пушту, персидский и арабский и использующийся в учебных заведениях, библиотеках, правительственных организациях и СМИ.

Исследователи зафиксировали волну атак с использованием уязвимости в сентябре текущего года. Злоумышленники распространяли эксплоит с помощью фишинговых писем. Сам эксплоит представлял собой файл с расширением InPage (.inp), содержащий шелл-код – вредоносное ПО, способное расшифровывать само себя и вложенный в письмо исполняемый файл. В настоящее время данный случай является единственным примером существования эксплоита для InPage.

Как пояснил эксперт «Лаборатории Касперского» Денис Легезо, в InPage используется собственный проприетарный формат, основанный на Microsoft Compound File Format. Синтаксический анализатор в главном модуле программы ‘inpage.exe’ содержит уязвимость при анализе определенных полей. Создав такое поле в документе, злоумышленник может получить контроль над потоком команд и выполнить код.

По данным исследователей, жертвами хакеров стали организации, в том числе правительственные и финансовые, в Мьянме, Шри-Ланке и Уганде. Злоумышленники эксплуатировали уязвимость в InPage для установки на системы бэкдоров и кейлоггеров.