💳 Потрібна європейська картка з лімітом 50к євро? Встановлюй Trustee Plus 👉
Наталя ХандусенкоВойна
29 апреля 2024, 17:37
2024-04-29
Невідомі хакери атакували українських військових із використанням семирічної помилки в Microsoft Office
Исследователи кибербезопасности компании Deep Instinct обнаружили целенаправленную операцию против Украины, которая, как выяснилось, использует почти семилетнюю ошибку в Microsoft Office для доставки вируса Cobalt Strike на скомпрометированные системы.
Исследователи кибербезопасности компании Deep Instinct обнаружили целенаправленную операцию против Украины, которая, как выяснилось, использует почти семилетнюю ошибку в Microsoft Office для доставки вируса Cobalt Strike на скомпрометированные системы.
Во время серии атак, произошедших в конце 2023 года, согласно данным Deep Instinct, использовался файл слайд-шоу PowerPoint (signal-20.12.2023-160512.ppsx) как начальная точка. Название файла указывает на то, что он мог быть распространен через приложение для обмена сообщениями Signal, сообщает The Hacker News. В то же время, нет никаких фактических доказательств того, что файл PPSX распространялся именно таким образом.
«Файл PPSX (слайд-шоу в PowerPoint), похоже, является старой инструкцией армии США по использованию противоминных лопастей (MCB) для танков», — говорит исследователь безопасности Иван Косарев. «Файл PPSX содержит удаленную связь с внешним объектом OLE».
Сюда входит CVE-2017-8570 (оценка CVSS: 7.8), исправлена ошибка удаленного выполнения кода в Office, которая могла позволить злоумышленнику совершать какие-либо действия, убедив жертву открыть специально созданный файл, чтобы загрузить удаленный скрипт, размещенный на weavesilk[]. пространство.
Сильно замаскированный скрипт впоследствии запускает HTML-файл, содержащий код JavaScript, который в свою очередь хранится на хосте через реестр Windows и удаляет полезную нагрузку следующего этапа, имитирующего клиент Cisco AnyConnect VPN.
Источник: The Hacker News
Полезная нагрузка включает в себя библиотеку динамической компоновки (DLL), которая внедряет сломанный Cobalt Strike Beacon, легальный инструмент для тестирования пера, непосредственно в системную память и ждет дальнейших инструкций от сервера управления и контроля (C2) («petapixel[.]fun»).
DLL также содержит функции для проверки того, выполняется ли она на виртуальной машине, и избегание обнаружения программного обеспечения для защиты.
Deep Instinct заявила, что не может связать атаки с конкретным угрожающим субъектом или группой, а также исключить возможность того, что это была красная команда. Также непонятна точная конечная цель вторжения.
«Приманка содержала военный контент, позволяющий предположить, что она была нацелена на военнослужащих», — сказал Косарев.
«Но доменные имена weavesilk[.]space и petapixel[.]fun замаскированы под малоизвестный сайт генеративного арта (weavesilk[.]com) и популярный фотосайт (petapixel[.]com). Они не связаны между собой, и несколько странно, почему злоумышленник использует их именно для того, чтобы обмануть военнослужащих», — заметил исследователь безопасности.
Стало известно о планах хакеров по российской группировке Sandworm. Они собирались атаковать объекты критической инфраструктуры и нанести больше вреда, чем ракетные обстрелы.
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.