Хакеры из Китая «штурмуют» российские ПК используя уязвимость в Office

Хакеры из Китая «штурмуют» российские ПК используя уязвимость в Office

По данным исследователей компании Proofpoint, нашумевшая в прошлом месяце уязвимость в Microsoft Office (CVE-2017-0199) использовалась кибершпионской группировкой TA459 APT из Китая в атаках на финансовые организации.

Исправленная в апреле текущего года уязвимость наделала много шума в ИБ-сообществе. Дело в том, что её использовали как кибершпионы, так и хакеры. С помощью CVE-2017-0199 злоумышленники заражали системы жертв шпионским ПО FinFisher и LATENTBOT, а также банковским трояном Dridex. Также уязвимостью пользовалась иранская кибершпионская группировка OilRig для атак на израильские организации.

Как говорится в отчёте Proofpoint, TA459 APT атаковала военные и аэрокосмические организации в России и Республике Беларусь. Группировка работает с 2013 года и использует весьма обширный арсенал вредоносного ПО, в том числе PlugX, NetTraveler, Saker, Netbot, DarkStRat и ZeroT. TA459 APT специализируется на атаках на организации в РФ и соседних странах.

Исследователи Proofpoint считают, что недавние атаки являются продолжением более длительной кампании, обнаруженной еще летом 2015 года. Хакеры начали использовать уязвимость CVE-2017-0199 сразу после выхода исправления.

Атака начинается с получения жертвой фишингового письма с вредоносным документом Word. Когда жертва открывает файл, загружается HTML приложение, замаскированное под RTF-документ. С помощью PowerShell загружается и выполняется скрипт, извлекающий и запускающий загрузчик ZeroT. Исследователи обратили внимание на реализованные в последней версии вредоноса новые возможности. Одной из них является использование для развертывания приложения легитимной утилиты McAfee вместо Norman Safeground.

Источник

Следующая новость
Предыдущая новость

Вниманию посетителей! Мы временно отключили возможность комментирования новостей в связи с частыми призывами к противоправным действиям и насилию со стороны некоторых посетителей. Надеемся на Ваше понимание. С уважением, редакция "Моя Империя".

Последние новости