В ходе атаки злоумышленники использовали эксплоит для нашумевшей уязвимости в MS Office.
26 апреля Национальная служба безопасности Израиля сообщила о пресечении масштабной кибератаки, направленной на порядка 120 организаций и госучреждений, а также на частных лиц. По данным специалистов Morphisec, организатором кибератаки является группировка OilRig, также известная как Helix Kitten и NewsBeef, которая предположительно связана с разведслужбами Ирана.
По имеющейся информации, в период с 19 по 24 апреля нынешнего года хакеры атаковали 250 сотрудников израильских компаний и организаций в различных сферах, включая государственные учреждения, технологические компании, медицинские организации и образовательные учреждения, в том числе Университет имени Бен-Гуриона.
Злоумышленники скомпрометировали учетные записи электронной почты высокопоставленных сотрудников Университета имени Бен-Гуриона и использовали их для рассылки вредоносных документов MS Word, содержащих троян Helminth. В ходе атаки хакеры применили эксплоит для нашумевшей уязвимости CVE-2017-0199 в MS Office, позволявшей незаметно установить вредоносное ПО на целевой компьютер. 11 апреля Microsoft выпустила обновление безопасности, устраняющее данную проблему, но, по всей видимости, далеко не все организации успели его установить.
По словам экспертов, злоумышленники использовали модифицированную версию открытого инструмента Mimikatz для получения доступа к учетным данным пользователей в сервисе проверки подлинности локальной системы безопасности Windows (Windows Local Security Authority Subsystem Service).
Ранее в этом году группировка OilRig осуществила серию кибератак на ряд израильских организаций, включая IT-компании, Почту Израиля и финансовые организации.
Сбалансированная диета для серого вещества