Эксплоит для 0-day в MS Office связан с конфликтом на востоке Украины

Эксплоит для 0-day в MS Office связан с конфликтом на востоке Украины

Недавно исправленная уязвимость нулевого дня в Office эксплуатировалась в нескольких хакерских кампаниях.  

image

На этой неделе в рамках «вторника исправлений» Microsoft устранила уязвимость в Office (CVE-2017-0199). Проблема позволяет злоумышленникам выполнить скрипт Visual Basic, содержащий команды PowerShell, если жертва откроет RTF-документ со встроенным эксплоитом. Как сообщают эксперты FireEye, за несколько месяцев до выхода патча данная уязвимость эксплуатировалась сразу в нескольких хакерских кампаниях.

CVE-2017-0199 использовали как кибершпионы, так и хакеры, жаждущие наживы. В январе и марте 2017 года с ее помощью злоумышленники инфицировали системы жертв вредоносным ПО FINSPY (также известен как FinFisher) и LATENTBOT. Схожесть в реализации вредоносов наталкивает на мысль, что они были созданы на базе одного исходного года.

25 января начались атаки на русскоговорящих пользователей с применением содержащих эксплоит документов, замаскированных под приказ Министерства обороны РФ и учебное пособие, якобы изданное в Донецкой народной республике. Документы эксплуатировали уязвимость CVE-2017-0199 для заражения систем шпионским ПО FINSPY производства известной компании Gamma Group, специализирующейся на продаже правительствам инструментов для слежения.

Документ СПУТНИК РАЗВЕДЧИКА.doc (MD5: c10dabb05a38edd8a9a0ddda1c9af10e) представлял собой вредоносную версию широкодоступного учебного пособия. Примечательно, данная версия была якобы выпущена в ДНР. Исследователям  FireEye не удалось идентифицировать жертв вредоносной кампании.

С 4 марта начались атаки с использованием LATENTBOT. Вредоносное ПО предназначено для похищения учетных данных и используется киберпреступниками ради финансовой выгоды. LATENTBOT представляет собой модульное обфусцированное ПО, исследуемое FireEye с декабря 2015 года. Помимо учетных данных, вредонос также способен похищать информацию с жестких дисков, отключать антивирусные решения и предоставлять хакерам удаленный доступ к зараженной системе.

10 апреля киберпреступники модифицировали свою инфраструктуру для распространения TERDOT вместо LATENTBOT. По данным специалистов Proofpoint, уязвимость также эксплуатировалась операторами ботнета Dridex для распространения банковского трояна.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle