Брешь эксплуатируется злоумышленниками в ходе шпионской кампании против НАТО, Украины и Польши.
Во вторник, 14 октября, эксперты компаний iSIGHT Partners и Microsoft сообщили об обнаружении эксплуатации уязвимости нулевого дня в различных клиентских версиях Microsoft Windows, а также в серверных версия ОС Windows Server 2008 и 2012. Исследователи в своем отчете утверждают о российском происхождении шпионской кампании.
В ходе эксплуатации уязвимости злоумышленники устанавливали на скомпрометированные хосты вредоносное ПО Sandworm. Взлому подверглись компьютерные системы НАТО, правительств Украины и Польши, ряда европейских промышленных компаний, а также ученых из США.
Старший менеджер по вопросам угроз кибершпионажа Джон Халтквист (John Hultquist) отметил, что применяемый злоумышленниками эксплоит очень высокотехнологический и сложный. Судя по всему, его разработчики потратили немало времени на создание приложения. Осуществляемая с помощью этого эксплоита атака не нарушает работу системы, благодаря чему остается незамеченной.
Исследователи из iSIGHT назвали стоящую за атаками группировку «Sandworm Team». Это связано с тем, что в URL и коде некоторых образцов вредоносного ПО встречаются отсылки к научно-фантастическому сериалу «Дюна». Эксперты следят за активностью группировки с конца прошлого года. Предполагается, что она начала свое существование еще в 2009 году.
Для распространения вредоносного ПО Sandworm Team рассылает жертвам фишинговые письма со вложенными вредоносными документами. Многие из этих сообщений касаются обострения политических отношений между Украиной и Россией. В ходе атак злоумышленники применяют различные методы – используют вредоносное ПО BlackEnergy, эксплуатируют две уязвимости одновременно, а также используют брешь нулевого дня в Microsoft Windows (CVE-2014-4114).
Сбалансированная диета для серого вещества