Кіберзлочинці активно експлуатують уразливість в WinRAR

13:00
Кіберзлочинці активно експлуатують уразливість в WinRAR

       Компанія Microsoft опублікувала подробиці про березневі атаки на Windows-ПК, що використовуються в телекомунікаційних компаніях. «Незвичайні, цікаві техніки» вказують на можливу причетність до інцидентів APT-групи MuddyWater.

      В ході атак зловмисники експлуатували відому уразливість в WinRAR (CVE-2018-20250), яка в останні місяці завоювала велику популярність у кіберзлочинних APT-груп. Зловмисники озброїлися нею відразу після публікації компанії Check Point від 20 лютого. Дослідники продемонстрували, як через уразливість можна виконати довільний код на системі за допомогою особливим чином сконфигурированного файлу ACE (формат компрессірованних файлів).
    В ході березневої кампанії зловмисники розсилали фішингові листи нібито від Міністерства внутрішніх справ Афганістану. Використовувані ними методи соціальної інженерії були продумані до дрібниць з метою забезпечення повної віддаленої компрометації системи в рамках обмеженої уразливості в WinRAR.
    Фішингові листи містили документ Microsoft Word з посиланням на інший документ на OneDrive. Ніяких шкідливих макросів в ньому не було, ймовірно для того щоб уникнути виявлення атаки. Зате документ, що завантажується з OneDrive, містив шкідливі макроси, після активації яких на систему жертви завантажувалося шкідливе ПЗ.
     У документі також була кнопка «Next page», що відображає підроблене повідомлення про відсутність потрібного файлу DLL і необхідності перезавантаження комп'ютера. Цей трюк був потрібен, так як вразливість дозволяє шкідливому ПЗ не тільки записувати файли в певну папку, але й не запускати їх відразу ж. Тому ідеальним варіантом був запуск шкідівника в папці «Автозавантаження» (Startup), яку запускає відразу після перезавантаження комп'ютера. Після перезавантаження на зараженій системі запускався бекдор PowerShell, що надає зловмисникам повний контроль над нею.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.