Сотрудники организации получали по электронной почте подозрительный файл RTF.
ИБ-исследователи из Check Point выявили ряд целевых атак, ориентированных на государственный сектор в Израиле. С помощью набора эксплоитов Microsoft Word Intruder (MWI) злоумышленники инфицировали модифицированной версией трояна Zeus уязвимые персональные компьютеры.
Кибератаки были обнаружены после того, как один из высокопоставленных клиентов Check Point заметил и передал на анализ подозрительный файл RTF. Файл был прислан сотрудникам компании через электронную почту, открыт и загружен несколькими любопытными пользователями.
После проведенного экспертами из Check Point анализа было выяснено, что в файл был внедрен набор эксплоитов MWI, направленный на эксплуатацию известных уязвимостей в Microsoft Word на персональных компьютерах на базе Windows. Использование набора эксплоитов позволяло инфицировать целевую систему трояном Zeus.
Исследователи смогли выяснить, что IP-адрес C&C-сервера, с которого осуществлялась рассылка MWI, находился в Германии. Данный сервер также использовался в ряде других кибератак с эксплуатацией набора эксплоита MWI и трояна Zeus.
В ходе расследования эксперты из Check Point обнаружили, что около 49% всех пострадавших от кибератак ПК были размещены в Израиле. Более 200 персональных компьютеров принадлежали государственным учреждениям, научно-исследовательским организациям, охранным компаниям и больницам.
Одно найти легче, чем другое. Спойлер: это не темная материя