Microsoft Office как вектор для атаки: иранские хакеры и их новый метод компрометации

Иранская хакерская группа APT34, также известная как Cobalt Gypsy, Hazel Sandstorm, Helix Kitten и OilRig, предположительно стоит за новой фишинговой атакой, целью которой является распространение вредоносного ПО под названием SideTwist.

Как сообщает компания NSFOCUS, группировка APT34 использует специально созданные документы Microsoft Word с вредоносными макросами. После запуска макрос извлекает и запускает зашифрованную полезную нагрузку SideTwist, которая устанавливает соединение с удалённым сервером для получения дальнейших инструкций.

APT34 активна с 2014 года и специализируется на атаках против правительственных организаций, телекоммуникационных компаний, оборонных предприятий и финансовых учреждений на Ближнем Востоке. Группа отличается способностью самостоятельно создавать новые инструменты для минимизации риска обнаружения и долгосрочного закрепления в скомпрометированных сетях.

SideTwist впервые был замечен в использовании APT34 в апреле 2021 года. Он способен загружать и выгружать файлы, а также выполнять команды злоумышленников. Эксперты отмечают, что данный бэкдор является одним из ключевых инструментов группы APT34 для установления надёжного постоянства в скомпрометированных системах.

Тем временем, компания Fortinet обнаружила другую фишинговую кампанию, распространяющую новый вариант вредоносного ПО Agent Tesla с использованием уязвимостей CVE-2017-11882 и CVE-2018-0802 в Microsoft Office.

По данным Qualys, CVE-2017-11882 до сих пор остаётся одной из самых популярных уязвимостей, эксплуатируемых злоумышленниками. уязвимость позволяет выполнить произвольный код при открытии специально созданного документа Microsoft Office.

Несмотря на то, что уязвимость была устранена компанией Microsoft ещё в 2017 году, многие пользователи продолжают использовать уязвимые версии Office, что делает её привлекательной мишенью для киберпреступников.

Эксперты предупреждают, что фишинг с использованием вредоносных документов продолжает оставаться одним из наиболее эффективных инструментов киберпреступников для компрометации целевых систем и хищения конфиденциальных данных.

Для защиты от подобных атак компаниям рекомендуется:

• проводить регулярное обучение сотрудников распознавать фишинговые письма и не открывать подозрительные вложения.
• использовать антифишинговые решения для фильтрации входящих сообщений.
• своевременно устанавливать все обновления безопасности на рабочие станции и серверы.
• ограничивать использование устаревших версий программного обеспечения, в которых содержатся опасные уязвимости.
• регулярно делать резервные копии данных для восстановления в случае атаки.

Соблюдение базовых правил кибергигиены и использование комплексной защиты позволит значительно снизить риски, связанные такими вредоносами, как SideTwist и Agent Tesla.