Ранее в этом месяце, в составе ежемесячного «вторника обновлений», разработчики Microsoft представили исправление для уязвимости CVE-2017-11882 . Данный баг обнаружили специалисты компании Embedi, он позволяет выполнить на уязвимом устройстве произвольный код без взаимодействия с пользователем и существовал в Microsoft Office на протяжении долгих 17 лет. Проблема связана с работой Microsoft Equation Editor (EQNEDT32.EXE). Как следует из названия, данный инструмент позволяет пользователям внедрять в документы Office математические уравнения в виде объектов OLE.
Спустя чуть больше недели после выхода патча и появления в сети сразу нескольких proof of concept эксплоитов для уязвимости (1, 2, 3, 4), проблему взяли на вооружение хакеры как минимум из одной группировки — Cobalt. Эта группа известна специалистам уже несколько лет, в частности, ИБ-эксперты полагают, что Cobalt имеет российские корни и напрямую связана с другой известной группировкой, Buhtrap, из-за сходства используемых инструментов. Основными целями группировки обычно являются банки, финансовые организации, сети банкоматов и так далее.
По данным британской компании Reversing Labs, члены Cobalt применяют баг CVE-2017-11882 для создания вредоносных документов RTF, которые затем используются для таргетированных атак на приоритетные для хакеров цели. Эксплуатируя данную уязвимость, преступники доставляют на устройства жертв дополнительную малварь в виде файлов DLL, которые исследователи еще продолжают изучать.
Аналитик компании Proofpoint Мэттью Меса (Matthew Mesa) тоже обратил внимание на вредоносную активность Cobalt, но он заметил немного другой сценарий эксплуатации проблемы:
hxxps://goo[.]gl/1GEcjp
->https://t.co/JuObz0zwRd
->
CVE-2017-11882 -> mshta -> Powershell -> DLL -> Drops msxsl.exe and runs Jscript Backdoor (more_eggs) with it.Likely Cobalt group/gang.
Similar Jscript payload described here:https://t.co/72Mv7ucvm8@subTee— Matthew Mesa (@mesa_matt) November 22, 2017
Нужно сказать, что это не первый случай, когда Cobalt находит применение уязвимостям в продуктах Microsoft практически сразу после публикации данных о них. К примеру, практически то же самое произошло с RCE-багом в .NET Framework (CVE-2017-8759), который был исправлен в сентябре 2017 года.
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|