Китайские шпионы эксплуатируют уязвимость в Office для атак на организации в РФ

По данным исследователей компании Proofpoint, нашумевшая в прошлом  месяце уязвимость в Microsoft Office (CVE-2017-0199) эксплуатировалась китайской кибершпионской группировкой TA459 APT в атаках на финансовые организации.

Как уже упоминалось, исправленная в апреле текущего года уязвимость наделала много шума в ИБ-сообществе. Дело в том, что ее использовали как кибершпионы, так и жаждущие наживы хакеры – довольно редкое явление, если верить исследованию стратегического исследовательского центра RAND. С помощью CVE-2017-0199 злоумышленники заражали системы жертв шпионским ПО FinFisher и LATENTBOT, а также банковским трояном Dridex. Кроме того, уязвимость эксплуатировалась иранской кибершпионской группировкой OilRig для атак на израильские организации.  

Согласно отчету Proofpoint, TA459 APT атаковала военные и аэрокосмические организации в России и Республике Беларусь. Группировка активна с 2013 года и использует весьма обширный арсенал вредоносного ПО, в том числе PlugX, NetTraveler, Saker, Netbot, DarkStRat и ZeroT. TA459 APT специализируется на атаках на организации в РФ и соседних странах.

По мнению исследователей Proofpoint, недавние атаки являются продолжением более длительной кампании, обнаруженной еще летом 2015 года. Хакеры начали эксплуатировать уязвимость CVE-2017-0199 сразу после выхода исправления.

Атака начинается с получения жертвой фишингового письма с вредоносным документом Word. Когда пользователь открывает файл, загружается HTML приложение, замаскированное под RTF-документ. С помощью PowerShell загружается и выполняется скрипт, извлекающий и запускающий загрузчик ZeroT. Исследователи обратили внимание на реализованные в последней версии вредоноса новые возможности. Одной из них является использование для развертывания приложения легитимной утилиты McAfee вместо Norman Safeground.