Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Китайские шпионы эксплуатируют уязвимость в Office для атак на организации в РФ

Китайские шпионы эксплуатируют уязвимость в Office для атак на организации в РФ


04.05.2017

Китайские шпионы эксплуатируют уязвимость в Office для атак на организации в РФ

По данным исследователей компании Proofpoint, нашумевшая в прошлом  месяце уязвимость в Microsoft Office (CVE-2017-0199) эксплуатировалась китайской кибершпионской группировкой TA459 APT в атаках на финансовые организации.

 Как уже упоминалось, исправленная в апреле текущего года уязвимость наделала много шума в ИБ-сообществе. Дело в том, что ее использовали как кибершпионы, так и жаждущие наживы хакеры – довольно редкое явление, если верить исследованию стратегического исследовательского центра RAND. С помощью CVE-2017-0199 злоумышленники заражали системы жертв шпионским ПО FinFisher и LATENTBOT, а также банковским трояном Dridex. Кроме того, уязвимость эксплуатировалась иранской кибершпионской группировкой OilRig для атак на израильские организации.  

 Согласно отчету Proofpoint, TA459 APT атаковала военные и аэрокосмические организации в России и Республике Беларусь. Группировка активна с 2013 года и использует весьма обширный арсенал вредоносного ПО, в том числе PlugX, NetTraveler, Saker, Netbot, DarkStRat и ZeroT. TA459 APT специализируется на атаках на организации в РФ и соседних странах.

 По мнению исследователей Proofpoint, недавние атаки являются продолжением более длительной кампании, обнаруженной еще летом 2015 года. Хакеры начали эксплуатировать уязвимость CVE-2017-0199 сразу после выхода исправления.

 Атака начинается с получения жертвой фишингового письма с вредоносным документом Word. Когда пользователь открывает файл, загружается HTML приложение, замаскированное под RTF-документ. С помощью PowerShell загружается и выполняется скрипт, извлекающий и запускающий загрузчик ZeroT. Исследователи обратили внимание на реализованные в последней версии вредоноса новые возможности. Одной из них является использование для развертывания приложения легитимной утилиты McAfee вместо Norman Safeground.

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.