DarkHotel эксплуатировала уязвимости в Firefox и IE в ходе атак на Китай и Японию
03/04/20
Исправленные ранее в этом году в уязвимости в браузерах Firefox ( CVE-2019-17026 ) и Internet Explorer (CVE-2020-0674) были проэксплуатированы участниками киберпреступной группировки DarkHotel (APT-C-06) в атаках, нацеленных на Китай и Японию.
Уязвимость выполнения произвольного кода в Firefox была исправлена в начале января, а проблему в Internet Explorer Microsoft исправила в феврале. Обе уязвимости использовались в атаках еще до выпуска патчей.
Специалисты из японского координационного центра реагирования на компьютерные инциденты (JPCERT/CC) рассказали об атаках на японские и китайские предприятия, в ходе которых эксплуатировалась как уязвимость CVE-2019-17026, так и CVE-2020-0674.
Преступники перенаправляли пользователей на web-сайт, настроенный на загрузку эксплоитов для Firefox или Internet Explorer, в зависимости от браузера жертвы. В случае успеха в систему загружался файл автоматической настройки прокси-сервера. Данные файлы позволяли злоумышленникам перенаправлять запросы на указанных web-сайтах через внешний сервер, которым они управляли.
В конечном счете на систему жертвы загружалcя троян для удаленного доступа Gh0st. По словам специалистов, вредоносная программа запускалась только на 64-разрядных системах Windows 7 и Windows 8.1, а устройства под управлением Windows 10 не были затронуты.