12/04/19
Компания Microsoft опубликовала подробности о мартовских атаках на Windows-ПК, использующиеся в телекоммуникационных компаниях. «Необычные, интересные техники» указывают на возможную причастность к инцидентам APT-группы MuddyWater.
В ходе атак злоумышленники эксплуатировали известную уязвимость в WinRAR (CVE-2018-20250), в последние месяцы завоевавшую большую популярность у киберпреступных и APT-групп. Злоумышленники вооружились ею сразу после публикации компании Check Point от 20 февраля. Исследователи продемонстрировали, как через уязвимость можно выполнить произвольный код на системе с помощью особым образом сконфигурированного файла ACE (формат компрессированных файлов).
Новая, исправленная версия WinRAR вышла за месяц до публикации Check Point, но даже в марте Microsoft по-прежнему детектировала атаки с использованием CVE-2018-20250.
В ходе мартовской кампании злоумышленники рассылали фишинговые письма якобы от Министерства внутренних дел Афганистана. Используемые ими методы социальной инженерии были продуманы до мелочей с целью обеспечения полной удаленной компрометации системы в рамках ограниченной уязвимости в WinRAR.
Фишинговые письма содержали документ Microsoft Word со ссылкой на другой документ на OneDrive. Никаких вредоносных макросов в нем не было, вероятно для того чтобы избежать обнаружения атаки. Зато документ, загружаемый с OneDrive, содержал вредоносные макросы, после активации которых на систему жертвы загружалось вредоносное ПО.
В документе также была кнопка «Next page», отображающая поддельное уведомление об отсутствии нужного файла DLL и необходимости перезагрузки компьютера. Этот трюк был нужен, так как уязвимость позволяет вредоносному ПО только записывать файлы в определенную папку, но не запускать их сразу же. Поэтому идеальным вариантом являлся запуск вредоноса в папке «Автозагрузка» (Startup), запускаемой сразу после перезагрузки компьютера. После перезагрузки на зараженной системе запускался бэкдор PowerShell, предоставляющий злоумышленникам полный контроль над ней.
