Хакерская группировка Cobalt взяла на вооружение уязвимость в Microsoft Equation

Недавно исправленная уязвимость CVE-2017-11882 в Microsoft Equation, позволяющая выполнить вредоносный код без взаимодействия с пользователем, уже активно эксплуатируется русскоязычной хакерской группировкой Cobalt. Об этом сообщили исследователи безопасности из компании Reversing Labs.

Группировка Cobalt известна своими кибератаками на банкоматы и европейские финансовые организации. В отличие от других российских или русскоязычных хакерских группировок, как правило, избегающих страны постсоветского пространства, Cobalt, по всей видимости, использует данный регион в качестве тестовой площадки для испытания новых техник и вредоносного ПО. В августе текущего года жертвами атак Cobalt стали порядка 250 компаний, в том числе банки, биржи, страховые компании, инвестфонды и другие организации.

По словам исследователей, в настоящее время CVE-2017-11882 эксплуатируется хакерской группировкой Cobalt для инфицирования пользователей вредоносным ПО. В частности, Cobalt распространяет вредоносные RTF-документы, содержащие эксплоит для CVE-2017-11882. В первую очередь целями группировки стали богатые и высокопоставленные пользователи, отметили исследователи.

По словам специалистов, группировка начала эксплуатировать CVE-2017-11882 сравнительно быстро, что может быть связано с публикацией 4 PoC-эксплоитов всего через несколько недель после выхода исправления.

Согласно данным исследователей, в настоящее время Cobalt отправляет электронные письма с прикрепленным вредоносным файлом RTF, содержащим эксплоит, позволяющий загружать и запускать дополнительное вредоносное ПО. Цепочка заражения проходит в несколько этапов и в конечном итоге на устройство пользователя загружается вредоносная DLL-библиотека, которую еще предстоит проанализировать более подробно, пояснили эксперты.