Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Теперь Qbot использует уязвимость Follina в фишинговых атаках

10/06/22

Согласно сообщению исследователи безопасности компании Proofpoint, группировка TA570 начала использовать уязвимость CVE-2022-30190 , отправляя жертвам вредоносные документы Microsoft Office в формате docx.

TA570 используют перехваченные сообщения электронной почты с HTML-вложениями, которые загружают ZIP-архивы, содержащие IMG-файлы. Внутри них жертв ждут файлы ярлыков, DLL и Word. Пока файл ярлыка напрямую загружает DLL-файл Qbot , заранее упакованный в образ диска IMG, пустой документ в формате .docx обращается к внешнему серверу для загрузки HTML-файла, который использует Follina для запуска кода PowerShell, загружающего другую полезную нагрузку Qbot.

 

pasted image 0 (4)

Набор индикаторов компрометации, связанных с Qbot, можно найти здесь .

По словам специалистов, в этой фишинговой кампании Qbot использует тактику, похожую на предыдущие атаки. Ранее хакеров уже ловили на перехвате электронных писем и рассылке вредоносных вложений.

Эксперты считают, что TA570 использует два разных метода заражения потенциальных жертв для проведения A/B-тестирования, пытаясь оценить эффективность каждого метода атаки. Такое уже было в феврале этого года, когда хакеры пытались использовать Squiblydoo для распространения вредоносного ПО через документы Microsoft Office с помощью файла regsvr32.exe, напоминает Securitylab.

Темы:ПреступленияфишингProofpointQBot
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...