Office Exploit получает новую жизнь с PowerPoint Variation

За последние несколько месяцев уязвимость Office стала одним из самых популярных и эффективных способов доставки вредоносного ПО на уязвимые компьютеры.

Уязвимость, отслеживаемая как CVE-2017-0199, была обнаружена сотрудниками McAfee и FireEye в апреле этого года, и на момент ее обнаружения это был нулевой день .

В апреле злоумышленники использовали его для доставки RTF-файла своим целям, который при открытии автоматически запускал объект OLE2link и запускал вредоносный код для компрометации компьютеров пользователей.

В то время злоумышленники использовали его для загрузки файла HTA, который, в свою очередь, запускал вредоносный JS-код и устанавливал различные полезные нагрузки. Исследователи видели, как CVE-2017-0199 использовался для нацеливания на пророссийских сепаратистов на Украине в рамках кампании кибершпионажа, а также для доставки трояна-бэкдора Latentbot в обычных финансовых кампаниях по вредоносному ПО.

Позже тот же эксплойт использовался для доставки программы-вымогателя Cerber через спам-сообщения электронной почты, распространяющие вредоносные файлы DOC, а также в атаках на цепочки поставок со стороны подразделения экономического шпионажа Cobalt (также известного как FIN7).

Атаки используют CVE-2017-0199 и терпят неудачу

Вчера Cisco и Trend Micro обнаружили новые кампании с использованием этого нового эксплойта, что подтвердило его популярность среди мошенников.

Атаки, обнаруженные Cisco, исходили от группы, которая связала CVE-2017-0199 с CVE-2012-0158, которая была самой популярной уязвимостью 2016 года .

По данным Cisco , эта группа распространила спамерскую кампанию, в ходе которой были доставлены те же старые документы в формате RTF, которые загружали файл HTA для установки вредоносного ПО.

Мошенники пытались доставить либо банковский троян Ramnit, либо инфостиллер Lokibot. Эксперты Cisco говорят, что большинство попыток заразить пользователей не увенчались успехом, потому что, если на компьютер пользователя были внесены исправления против любого из двух эксплойтов, попытка заражения не удалась.

«Эта атака не увенчалась успехом, что может указывать на плохие процедуры тестирования или контроля качества со стороны злоумышленников», – заявила команда Cisco Talos.

Злоумышленники проявляют изобретательность с CVE-2017-0199

В то время как первая из этих новых атак с CVE-2017-0199 была плохо реализована, вторая была довольно творческой, и разработчики вредоносных программ придумали новый способ использования уязвимости Office.

Эти новые атаки, обнаруженные Trend Micro, использовали ту же уязвимость CVE-2017-0199, но через файлы PowerPoint PPTX вместо RTF. Злоумышленники использовали бы файл PPTX, чтобы загрузить другой файл DOC, открыть его и установить Remcos RAT .

Большинство атак были нацелены на компании, занимающиеся производством электроники, и предполагалось, что атаки были частью какой-то экономической шпионской кампании.

«Большинство методов обнаружения для CVE-2017-0199 сосредоточено на методе атаки RTF, использование нового вектора – файлов PPSX – позволяет злоумышленникам избежать обнаружения антивирусом», – сказал Trend Micro .

В Cybereason также наблюдался всплеск заражения Remcos RAT. Компания составила руководство о том, как создать файл на компьютере пользователя и предотвратить захват компьютера Remcos.

Microsoft выпустил обновление безопасности для CVE-2017-0199 в рамках компании апреля 2017 Patch вторника.

Источник

Блог обо всем на земле