👁️👁️ 300 000 криптанів встановили собі Trustee Plus - гаманець з криптокарткою. Чого чекаєш ти? 👉

Невідомі хакери атакували українських військових із використанням семирічної помилки в Microsoft Office

Исследователи кибербезопасности компании Deep Instinct обнаружили целенаправленную операцию против Украины, которая, как выяснилось, использует почти семилетнюю ошибку в Microsoft Office для доставки вируса Cobalt Strike на скомпрометированные системы.

Оставить комментарий
Невідомі хакери атакували українських військових із використанням семирічної помилки в Microsoft Office

Исследователи кибербезопасности компании Deep Instinct обнаружили целенаправленную операцию против Украины, которая, как выяснилось, использует почти семилетнюю ошибку в Microsoft Office для доставки вируса Cobalt Strike на скомпрометированные системы.

Во время серии атак, произошедших в конце 2023 года, согласно данным Deep Instinct, использовался файл слайд-шоу PowerPoint (signal-20.12.2023-160512.ppsx) как начальная точка. Название файла указывает на то, что он мог быть распространен через приложение для обмена сообщениями Signal, сообщает The Hacker News. В то же время, нет никаких фактических доказательств того, что файл PPSX распространялся именно таким образом.

«Файл PPSX (слайд-шоу в PowerPoint), похоже, является старой инструкцией армии США по использованию противоминных лопастей (MCB) для танков», — говорит исследователь безопасности Иван Косарев. «Файл PPSX содержит удаленную связь с внешним объектом OLE».

Сюда входит CVE-2017-8570 (оценка CVSS: 7.8), исправлена ​​ошибка удаленного выполнения кода в Office, которая могла позволить злоумышленнику совершать какие-либо действия, убедив жертву открыть специально созданный файл, чтобы загрузить удаленный скрипт, размещенный на weavesilk[]. пространство.

Сильно замаскированный скрипт впоследствии запускает HTML-файл, содержащий код JavaScript, который в свою очередь хранится на хосте через реестр Windows и удаляет полезную нагрузку следующего этапа, имитирующего клиент Cisco AnyConnect VPN.

Источник: The Hacker News

Полезная нагрузка включает в себя библиотеку динамической компоновки (DLL), которая внедряет сломанный Cobalt Strike Beacon, легальный инструмент для тестирования пера, непосредственно в системную память и ждет дальнейших инструкций от сервера управления и контроля (C2) («petapixel[.]fun»).

DLL также содержит функции для проверки того, выполняется ли она на виртуальной машине, и избегание обнаружения программного обеспечения для защиты.

Deep Instinct заявила, что не может связать атаки с конкретным угрожающим субъектом или группой, а также исключить возможность того, что это была красная команда. Также непонятна точная конечная цель вторжения.

«Приманка содержала военный контент, позволяющий предположить, что она была нацелена на военнослужащих», — сказал Косарев.

«Но доменные имена weavesilk[.]space и petapixel[.]fun замаскированы под малоизвестный сайт генеративного арта (weavesilk[.]com) и популярный фотосайт (petapixel[.]com). Они не связаны между собой, и несколько странно, почему злоумышленник использует их именно для того, чтобы обмануть военнослужащих», — заметил исследователь безопасности.

Читайте главные IT-новости страны в нашем Telegram
Читайте главные IT-новости страны в нашем Telegram
По теме
Читайте главные IT-новости страны в нашем Telegram
Стало известно о планах хакеров по российской группировке Sandworm. Они собирались атаковать объекты критической инфраструктуры и нанести больше вреда, чем ракетные обстрелы.
Стало известно о планах хакеров по российской группировке Sandworm. Они собирались атаковать объекты критической инфраструктуры и нанести больше вреда, чем ракетные обстрелы.
По теме
Стало известно о планах хакеров по российской группировке Sandworm. Они собирались атаковать объекты критической инфраструктуры и нанести больше вреда, чем ракетные обстрелы.
В Госспецсвязи рассказали о новой волне хакерских атак, направленной на украинских военнослужащих. Как работает схема
В Госспецсвязи рассказали о новой волне хакерских атак, направленной на украинских военнослужащих. Как работает схема
По теме
В Госспецсвязи рассказали о новой волне хакерских атак, направленной на украинских военнослужащих. Как работает схема
Российские хакеры взломали клиентские системы Microsoft и похитили письма правительственных агентств США
Российские хакеры взломали клиентские системы Microsoft и похитили письма правительственных агентств США
По теме
Российские хакеры взломали клиентские системы Microsoft и похитили письма правительственных агентств США
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
Читайте также
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon
Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon
Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.