Новости Госслужащий использовал уязвимость WinRAR для шпионажа за оборонными компаниями

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Как инструмент ЦРУ связан со столь продуманной атакой?


42ylt8ynokedukolwzk5ig4iz08ice2y.jpg


ИБ-компания Sangfor Technologies Для просмотра ссылки Войди или Зарегистрируйся серию фишинговых атак, в ходе которых эксплуатируется уязвимость в WinRAR. Приманкой для жертв служат документы, касающиеся геополитических вопросов Белоруссии и России, а отправителем электронных писем выступает лицо, выдающее себя за государственного служащего.

Атака осуществляется с использованием недавно обнаруженной уязвимости WinRAR Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 7.8). Атака срабатывает, если пользователь открывает вредоносный архив с помощью уязвимой версии WinRAR. Фишинговые письма и вложенные файлы тщательно подготовлены, чтобы обойти системы фильтрации электронной почты. Имена архивов и содержание документов-приманок адаптированы для различных целей.


nfxp86o2c14lzo5cnjr0iicn569vkpuo.png


Пример фишингового письма

Вредоносный скрипт Powershell был оптимизирован на протяжении множества итераций, что увеличивает степень обфускации и помогает обойти статическое обнаружение. Команды операторов загружают и устанавливают бэкдор Athena, используя Discord как канал связи с сервером управления и контроля (Command and Control, C2). Целью выбраны организации с геополитической значимостью, включая предприятия оборонной промышленности, научно-исследовательские учреждения и финансовые организации.

В 2017 году Для просмотра ссылки Войди или Зарегистрируйся ЦРУ, среди которых и был бэкдор Athena. Инструмент способен загружать на компьютер жертвы вредоносное ПО для выполнения определенных задач, а также добавлять/извлекать файлы в/из определенных директорий на атакуемой системе. Злоумышленник может менять настройки во время выполнения программы в зависимости от поставленной задачи. Таким образом, Athena позволяет получить контроль над компьютером под управлением Windows и добыть любые сведения.

Отмечается, что атакующие демонстрируют быстрое развитие способностей и адаптацию к изменениям обстановки. Исследователи заявили, что с учетом различных факторов, инцидент скорее всего не является работой киберпреступников – вероятно, за атаками стоит неизвестная ранее APT-группа (Advanced Persistent Threat).

Указанную ошибку в WinRAR Для просмотра ссылки Войди или Зарегистрируйся северокорейские хакеры. В рамках кампании, когда жертва пытается открыть заархивированный HTML-файл в электронном письме, вредоносный код активируется, позволяя атакующим получить удаленный доступ к системе.
 
Источник новости
www.securitylab.ru

Похожие темы