Киберпреступники активно эксплуатируют уязвимость в WinRAR

Киберпреступники активно эксплуатируют уязвимость в WinRAR

В марте были зафиксированы атаки, предположительно осуществляемые APT-группой MuddyWater.

Компания Microsoft опубликовала подробности о мартовских атаках на Windows-ПК, использующиеся в телекоммуникационных компаниях. «Необычные, интересные техники» указывают на возможную причастность к инцидентам APT-группы MuddyWater.

В ходе атак злоумышленники эксплуатировали известную уязвимость в WinRAR (CVE-2018-20250), в последние месяцы завоевавшую большую популярность у киберпреступных и APT-групп. Злоумышленники вооружились ею сразу после публикации компании Check Point от 20 февраля. Исследователи продемонстрировали, как через уязвимость можно выполнить произвольный код на системе с помощью особым образом сконфигурированного файла ACE (формат компрессированных файлов).

Новая, исправленная версия WinRAR вышла за месяц до публикации Check Point, но даже в марте Microsoft по-прежнему детектировала атаки с использованием CVE-2018-20250.

В ходе мартовской кампании злоумышленники рассылали фишинговые письма якобы от Министерства внутренних дел Афганистана. Используемые ими методы социальной инженерии были продуманы до мелочей с целью обеспечения полной удаленной компрометации системы в рамках ограниченной уязвимости в WinRAR.

Фишинговые письма содержали документ Microsoft Word со ссылкой на другой документ на OneDrive. Никаких вредоносных макросов в нем не было, вероятно для того чтобы избежать обнаружения атаки. Зато документ, загружаемый с OneDrive, содержал вредоносные макросы, после активации которых на систему жертвы загружалось вредоносное ПО.

В документе также была кнопка «Next page», отображающая поддельное уведомление об отсутствии нужного файла DLL и необходимости перезагрузки компьютера. Этот трюк был нужен, так как уязвимость позволяет вредоносному ПО только записывать файлы в определенную папку, но не запускать их сразу же. Поэтому идеальным вариантом являлся запуск вредоноса в папке «Автозагрузка» (Startup), запускаемой сразу после перезагрузки компьютера. После перезагрузки на зараженной системе запускался бэкдор PowerShell, предоставляющий злоумышленникам полный контроль над ней.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум