Недавно пропатченная уязвимость Microsoft Word использовалась как правительствами, так и хакерами

Исследователи полагают, что некоторые из атакующих получили эксплойт из одного источника.

 

Недавно раскрытая уязвимость нулевого дня в Microsoft Office использовалась в большем масштабе, чем предполагалось вначале.
 
Исследователи безопасности из FireEye теперь считают, что несколько атакующих получили эксплойт из одного и того же, оригинального источника.

Напомним, что уязвимость в функции «Object Linking and Embedding (OLE)» эпсплуатируется, когда жертва открывает специально созданный документ Word, который загружает вредоносное HTML-приложение с сервера, замаскированное под документ Rich Text. Тем временем приложение HTML загружает и запускает вредоносный скрипт, который может быть использован для скрытой установки вредоносного ПО.

Известно, что уязвимость активно использовалась по меньшей мере тремя отдельными злоумышленниками.

Несколько исследовательских групп говорят, что баг был использован уже в январе для дистанционной установки шпионской программы, созданной FinSpy, связанной с расположенной в Германии и Великобритании компанией Gamma Group, которая продает данные почти исключительно правительственным хакерам. Спустя несколько месяцев, в марте, такая же уязвимость была использована для установки Latentbot, семейства вредоносных программ, используемых финансово-мотивированными преступниками.

И только на этой неделе исследователи из Proofpoint заметили широкомасштабную кампанию рассылки по электронной почты, нацеленную на финансовые учреждения с помощью вредоносного ПО Dridex.

FireEye не спекулирует на тему, кто стоит за атаками или их мотивами, но логика подсказывает, что по крайней мере в случае с Gamma Group, известной работами для различных правительств, она получили свои эксплоиты из того же источника, что и преступные хакеры.

Документы-приманки, полученные в обеих кампаниях, имеют одинаковое время «последней ревизии», а значит они были созданы в тандеме.

«Несмотря на то, что замечен только один пользователь FinSpy, использующий эксплойт нулевого дня, методы действия FinSpy предполагают, что и другие клиенты имели к нему доступ», говорится в отчете.

«Кроме того, учитывая вероятное использование финансово мотивированными игроками, мы ожидаем, что другие операции остались нераскрытыми. Наконец, включение в кампанию Dridex эксплойта нулевого дня за одиннадцать часов до исправления, демонстрирует опасность раскрытия».

Microsoft выпустила патч во вторник, но некоторые машины, ожидающие обновления, по-прежнему уязвимы.

Подпишитесь на нашу еженедельную новостную рассылку!

Все наши новости вы получите по электронной почте раз в неделю, а Ваши личные данные останутся в безопасности. При необходимости вы сможете отписаться от рассылки в любой момент и в один клик.

Электронная почта

Имя пользователя

  • admin,
  • 856
  • 0