Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Эксплоит для 0-day в MS Office связан с конфликтом на востоке Украины

Эксплоит для 0-day в MS Office связан с конфликтом на востоке Украины


13.04.2017

Эксплоит для 0-day в MS Office связан с конфликтом на востоке Украины

На этой неделе в рамках "вторника исправлений" Microsoft устранила уязвимость в Office (CVE-2017-0199). Проблема позволяет злоумышленникам выполнить скрипт Visual Basic, содержащий команды PowerShell, если жертва откроет RTF-документ со встроенным эксплоитом. Как сообщают эксперты FireEye, за несколько месяцев до выхода патча данная уязвимость эксплуатировалась сразу в нескольких хакерских кампаниях.

 CVE-2017-0199 использовали как кибершпионы, так и хакеры, жаждущие наживы. В январе и марте 2017 года с ее помощью злоумышленники инфицировали системы жертв вредоносным ПО FINSPY (также известен как FinFisher) и LATENTBOT. Схожесть в реализации вредоносов наталкивает на мысль, что они были созданы на базе одного исходного года.

 25 января начались атаки на русскоговорящих пользователей с применением содержащих эксплоит документов, замаскированных под приказ Министерства обороны РФ и учебное пособие, якобы изданное в Донецкой народной республике. Документы эксплуатировали уязвимость CVE-2017-0199 для заражения систем шпионским ПО FINSPY производства известной компании Gamma Group, специализирующейся на продаже правительствам инструментов для слежения.

 Документ СПУТНИК РАЗВЕДЧИКА.doc (MD5: c10dabb05a38edd8a9a0ddda1c9af10e) представлял собой вредоносную версию широкодоступного учебного пособия. Примечательно, данная версия была якобы выпущена в ДНР. Исследователям  FireEye не удалось идентифицировать жертв вредоносной кампании.

 С 4 марта начались атаки с использованием LATENTBOT. Вредоносное ПО предназначено для похищения учетных данных и используется киберпреступниками ради финансовой выгоды. LATENTBOT представляет собой модульное обфусцированное ПО, исследуемое FireEye с декабря 2015 года. Помимо учетных данных, вредонос также способен похищать информацию с жестких дисков, отключать антивирусные решения и предоставлять хакерам удаленный доступ к зараженной системе.

 10 апреля киберпреступники модифицировали свою инфраструктуру для распространения TERDOT вместо LATENTBOT. По данным специалистов Proofpoint, уязвимость также эксплуатировалась операторами ботнета Dridex для распространения банковского трояна.

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.