Эксплоит для 0-day в MS Office связан с конфликтом на востоке Украины

На этой неделе в рамках «вторника исправлений» Microsoft устранила уязвимость в Office (CVE-2017-0199). Проблема позволяет злоумышленникам выполнить скрипт Visual Basic, содержащий команды PowerShell, если жертва откроет RTF-документ со встроенным эксплоитом. Как сообщают эксперты FireEye, за несколько месяцев до выхода патча данная уязвимость эксплуатировалась сразу в нескольких хакерских кампаниях.

CVE-2017-0199 использовали как кибершпионы, так и хакеры, жаждущие наживы. В январе и марте 2017 года с ее помощью злоумышленники инфицировали системы жертв вредоносным ПО FINSPY (также известен как FinFisher) и LATENTBOT. Схожесть в реализации вредоносов наталкивает на мысль, что они были созданы на базе одного исходного года.

25 января начались атаки на русскоговорящих пользователей с применением содержащих эксплоит документов, замаскированных под приказ Министерства обороны РФ и учебное пособие, якобы изданное в Донецкой народной республике. Документы эксплуатировали уязвимость CVE-2017-0199 для заражения систем шпионским ПО FINSPY производства известной компании Gamma Group, специализирующейся на продаже правительствам инструментов для слежения.

Документ СПУТНИК РАЗВЕДЧИКА.doc (MD5: c10dabb05a38edd8a9a0ddda1c9af10e) представлял собой вредоносную версию широкодоступного учебного пособия. Примечательно, данная версия была якобы выпущена в ДНР. Исследователям  FireEye не удалось идентифицировать жертв вредоносной кампании.

С 4 марта начались атаки с использованием LATENTBOT. Вредоносное ПО предназначено для похищения учетных данных и используется киберпреступниками ради финансовой выгоды. LATENTBOT представляет собой модульное обфусцированное ПО, исследуемое FireEye с декабря 2015 года. Помимо учетных данных, вредонос также способен похищать информацию с жестких дисков, отключать антивирусные решения и предоставлять хакерам удаленный доступ к зараженной системе.

10 апреля киберпреступники модифицировали свою инфраструктуру для распространения TERDOT вместо LATENTBOT. По данным специалистов Proofpoint, уязвимость также эксплуатировалась операторами ботнета Dridex для распространения банковского трояна.