30/07/21
Неизвестные киберпреступники эксплуатируют исправленную уязвимость нулевого дня в браузере Internet Explorer для распространения трояна для удаленного доступа (RAT), написанного на языке программирования VBA. Вредонос способен получать доступ к файлам на скомпрометированных системах под управлением Windows, а также загружать и выполнять вредоносные полезные нагрузки.
Как сообщили специалисты из компании Malwarebytes, бэкдор распространяется через фальшивый документ под названием Manifest.docx, который инициирует эксплуатацию уязвимости и выполняет shell-код для развертывания RAT.
Помимо сбора системных метаданных, RAT разработан для обнаружения антивирусных продуктов на зараженной системе и выполнения команд C&C-сервера, включая чтение, удаление и загрузку произвольных файлов, а также передачу результатов выполнения команд обратно на сервер.
Эксперты также обнаружили написанную на языке PHP панель под названием Ekipa, которая используется злоумышленником для отслеживания жертв и просмотра информации о способах работы, которые привели к успешному взлому.
Примечательно, что данную уязвимость (CVE-2021-26411) уже эксплуатировала поддерживаемая Северной Кореей группировка Lazarus Group для атак на ИБ-специалистов. Lazarus Group в ходе атак на исследователей в области кибербезопасности использовала MHTML-файлы. Эксперты проанализировали полезные нагрузки, загруженные MHT-файлом, и обнаружили в нем эксплоит для уязвимости нулевого дня в Internet Explorer. Microsoft исправила данную проблему с выпуском мартовских обновлений безопасности.
