👁️👁️ 300 000 криптанів встановили собі Trustee Plus - гаманець з криптокарткою. Чого чекаєш ти? 👉

Невідомі хакери атакували українських військових з використанням семирічної помилки в Microsoft Office

Дослідники кібербезпеки компанії Deep Instinct виявили цілеспрямовану операцію проти України, яка, як з’ясувалося, використовує майже семирічну помилку в Microsoft Office для доставки вірусу Cobalt Strike на скомпрометовані системи.

Залишити коментар
Невідомі хакери атакували українських військових з використанням семирічної помилки в Microsoft Office

Дослідники кібербезпеки компанії Deep Instinct виявили цілеспрямовану операцію проти України, яка, як з’ясувалося, використовує майже семирічну помилку в Microsoft Office для доставки вірусу Cobalt Strike на скомпрометовані системи.

Під час серії атак, які відбулися наприкінці 2023 року, згідно з даними Deep Instinct, використовувався файл слайд-шоу PowerPoint («signal-20.12.2023-160512.ppsx») як початкова точка. Назва файлу вказує на те, що він міг бути поширений через застосунок для обміну повідомленнями Signal, повідомляє The Hacker News. Водночас немає жодних фактичних доказів того, що файл PPSX поширювався саме в такий спосіб. 

«Файл PPSX (слайд-шоу в PowerPoint), схоже, є старою інструкцією армії США з використання протимінних лопатей  (MCB) для танків», — каже дослідник безпеки Іван Косарєв. «Файл PPSX містить віддалений зв’язок із зовнішнім об'єктом OLE».

Сюди входить CVE-2017-8570 (оцінка CVSS: 7.8), виправлена помилка віддаленого виконання коду в Office, яка могла дозволити зловмиснику здійснювати будь-які дії, переконавши жертву відкрити спеціально створений файл, щоб завантажити віддалений скрипт, розміщений на weavesilk[.]space. 

Добре замаскований скрипт згодом запускає HTML-файл, що містить код JavaScript, який, своєю чергою, зберігається на хості через реєстр Windows і видаляє корисне навантаження наступного етапу, що імітує клієнт Cisco AnyConnect VPN.

Джерело: The Hacker News

Корисне навантаження включає бібліотеку динамічного компонування (DLL), яка впроваджує зламаний Cobalt Strike Beacon, легальний інструмент для тестування пера, безпосередньо в системну пам’ять і чекає подальших інструкцій від сервера керування та контролю (C2) («petapixel[.]fun»).

DLL також містить функції для перевірки того, чи виконується вона на віртуальній машині, та уникнення виявлення програмним забезпеченням для захисту.

Deep Instinct заявила, що не може пов’язати атаки з конкретним загрозливим суб'єктом або групою, а також виключити можливість того, що це була «червона команда». Також незрозуміла точна кінцева мета вторгнення.

«Приманка містила військовий контент, що дозволяє припустити, що вона була націлена на військовослужбовців», — сказав Косарєв.

«Але доменні імена weavesilk[.]space і petapixel[.]fun замасковані під маловідомий сайт генеративного арту (weavesilk[.]com) і популярний фотосайт (petapixel[.]com). Вони не пов’язані між собою, і трохи дивно, чому зловмисник використовує їх саме для того, щоб обдурити військовослужбовців», — зауважив дослідник безпеки. 

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
Стало відомо про плани хакерів з російського угруповування Sandworm. Вони збиралися атакувати обєкти критичної інфраструктури й завдати більше шкоди ніж ракетні обстріли
Стало відомо про плани хакерів з російського угруповування Sandworm. Вони збиралися атакувати об’єкти критичної інфраструктури й завдати більше шкоди ніж ракетні обстріли
По темi
Стало відомо про плани хакерів з російського угруповування Sandworm. Вони збиралися атакувати об’єкти критичної інфраструктури й завдати більше шкоди ніж ракетні обстріли
У Держспецзвязку розповіли про нову хвилю хакерських атак що направлена на українських військовослужбовців. Як працює схема
У Держспецзв’язку розповіли про нову хвилю хакерських атак, що направлена на українських військовослужбовців. Як працює схема
По темi
У Держспецзв’язку розповіли про нову хвилю хакерських атак, що направлена на українських військовослужбовців. Як працює схема
Російські хакери зламали клієнтські системи Microsoft та викрали листи урядових агенств США
Російські хакери зламали клієнтські системи Microsoft та викрали листи урядових агенств США
По темi
Російські хакери зламали клієнтські системи Microsoft та викрали листи урядових агенств США
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
Читайте також
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
Видання Financial Times опублікувало статтю про роботу українських хакерів у війні проти рф, засновану на розмові з українським білим хакером Микитою Книшем. Він, як і сотні інших хакерів, допомагає боротися із російськими загарбниками в кіберпросторі. Наводимо адаптований переклад матеріалу. 
Проросійські хакери Killnet оголосили «війну» 10 державам, які підтримують Україну. Що про це пише Wired
Проросійські хакери Killnet оголосили «війну» 10 державам, які підтримують Україну. Що про це пише Wired
Проросійські хакери Killnet оголосили «війну» 10 державам, які підтримують Україну. Що про це пише Wired
Чергова кібератака на держустанови відбулася під виглядом вакансій і вкомплектування військових від шкідника Cobalt Strike Beacon
Чергова кібератака на держустанови відбулася під виглядом вакансій і вкомплектування військових від шкідника Cobalt Strike Beacon
Чергова кібератака на держустанови відбулася під виглядом вакансій і вкомплектування військових від шкідника Cobalt Strike Beacon
Випадково відкрив посилання з вірусом. Що робити? Ось інструкція
Випадково відкрив посилання з вірусом. Що робити? Ось інструкція
Випадково відкрив посилання з вірусом. Що робити? Ось інструкція

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.