Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Microsoft Office как новый вектор атак для иранских хакеров

07/09/23

irahack3-Sep-07-2023-11-51-25-2746-AM

Иранская хакерская группа APT34, также известная как Cobalt Gypsy, Hazel Sandstorm, Helix Kitten и OilRig, предположительно стоит за новой фишинговой атакой, целью которой является распространение вредоносного ПО под названием SideTwist.

Как сообщает компания NSFOCUS, группировка APT34 использует специально созданные документы Microsoft Word с вредоносными макросами. После запуска макрос извлекает и запускает зашифрованную полезную нагрузку SideTwist, которая устанавливает соединение с удалённым сервером для получения дальнейших инструкций.

APT34 активна с 2014 года и специализируется на атаках против правительственных организаций, телекоммуникационных компаний, оборонных предприятий и финансовых учреждений на Ближнем Востоке, поясняет Securitylab. Группа отличается способностью самостоятельно создавать новые инструменты для минимизации риска обнаружения и долгосрочного закрепления в скомпрометированных сетях.

SideTwist впервые был замечен в использовании APT34 в апреле 2021 года. Он способен загружать и выгружать файлы, а также выполнять команды злоумышленников. Эксперты отмечают, что данный бэкдор является одним из ключевых инструментов группы APT34 для установления надёжного постоянства в скомпрометированных системах.

Тем временем, компания Fortinet обнаружила другую фишинговую кампанию, распространяющую новый вариант вредоносного ПО Agent Tesla с использованием уязвимостей CVE-2017-11882 и CVE-2018-0802 в Microsoft Office.

По данным Qualys, CVE-2017-11882 до сих пор остаётся одной из самых популярных уязвимостей, эксплуатируемых злоумышленниками. уязвимость позволяет выполнить произвольный код при открытии специально созданного документа Microsoft Office.

Несмотря на то, что уязвимость была устранена компанией Microsoft ещё в 2017 году, многие пользователи продолжают использовать уязвимые версии Office, что делает её привлекательной мишенью для киберпреступников.

Эксперты предупреждают, что фишинг с использованием вредоносных документов продолжает оставаться одним из наиболее эффективных инструментов киберпреступников для компрометации целевых систем и хищения конфиденциальных данных.

Для защиты от подобных атак компаниям рекомендуется:

  • проводить регулярное обучение сотрудников распознавать фишинговые письма и не открывать подозрительные вложения.
  • использовать антифишинговые решения для фильтрации входящих сообщений.
  • своевременно устанавливать все обновления безопасности на рабочие станции и серверы.
  • ограничивать использование устаревших версий программного обеспечения, в которых содержатся опасные уязвимости.
  • регулярно делать резервные копии данных для восстановления в случае атаки.

 

Темы:УгрозыИранMicrosoft OfficeХакерские атаки
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...