Хакеры Sandworm атакуют украинские СМИ через уязвимость Follina

Хакеры Sandworm атакуют украинские СМИ через уязвимость Follina

Злоумышленники рассылают украинским СМИ фишинговые письма с вредоносным вложением.

Правительственной команде реагирования на компьютерные инциденты Украины (CERT-UA) стало известно о фишинговой кампании, в рамках которой хакеры из России рассылают вредоносные письма украинским СМИ (радиостанциям, газетам, новостным агентствам и пр.). В общей сложности CERT-UA идентифицировала свыше 500 электронных адресов получателей.

Письма с темой «Список ссылок на интерактивные карты» рассылаются со взломанных почтовых ящиков правительственных учреждений. В них содержится документ «СПИСОК_посилань_на_інтерактивні_карти.docx», после открытия которого на систему получателя загружается HTML-файл и выполняется JavaScript-код, в свою очередь загружающий и выполняющий EXE-файл 2.txt. Этот файл идентифицируется как вредоносное ПО CrescentImp.

В ходе атаки злоумышленники эксплуатируют нашумевшую уязвимость CVE-2022-30190 в утилите диагностики Microsoft Windows Support Diagnostic Tool (MSDT), известную как Follina. Уязвимость позволяет удаленно выполнить код и затрагивает все поддерживаемые версии Windows. Официального исправления от Microsoft для нее нет, однако на платформе 0patch доступен неофициальный патч.

Как сообщает CERT-UA, за фишинговыми атаками на украинские СМИ может стоять APT-группа Sandworm, связываемая с правительством РФ.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!