Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

RCE-уязвимость в Internet Explorer активно эксплуатируется в атаках

01/10/20

micro hackВ начале сентября 2020 года специалисты ClearSky обнаружили уникальный вредоносный RTF-файл, загруженный на VirusTotal из Беларуси. Имя файла и его содержание написаны на русском языке и представляют собой множество форм для заполнения, касающихся лиц, обвиняемых в различных преступлениях.

RTF-файл выполняет произвольный код с C&C-сервера. Выполнение кода может быть использовано для дальнейшей загрузки вредоносных программ, кражи данных и выполнения различных злонамеренных действий. В этом случае файл RTF загружает эксплоит для уязвимости в Internet Explorer ( CVE-2020-0968 ). Эксплоит загружает полезную нагрузку, однако файл зашифрован и его необходимо расшифровать для выполнения. По словам экспертов, злоумышленники начали активно эксплуатировать данную уязвимость в атаках.
 

RTF-файл открывает Microsoft Word, который позже выполняет произвольный код по выбору злоумышленников — в этом случае программа получает доступ к контролируемому злоумышленником серверу через URL Moniker, а затем загружает и выполняет HTM-файл.

Благодаря функциональности URL Moniker, файл открывается в фоновом режиме Internet Explorer, даже если данный браузер не выбран пользователем по умолчанию. Если эксплоит Internet Explorer запускается успешно, он загрузит дополнительный файл с сервера — зашифрованный DLL-файл «a1a.dll.». Как обнаружили специалисты, ShellCode успешно расшифровывает и запускает DLL.

Темы:MicrosoftУгрозыInternet Explorer
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...