Злоумышленники используют политические приманки и двойной вектор атаки на российских пользователей. Эксплуатируется уязвимость в Internet Explorer, которую очень любит применять северокорейская группировка Lazarus.
Старый баг
Неизвестные злоумышленники пытаются устанавливать RAT-троянец на базе VBA, используя уже устранённую уязвимость в Internet Explorer. Троянец способен загружать и запускать дополнительные модули и выводить данные с заражённых систем на удалённый сервер.
Установщик распространяется в документе под названием Manifest.docx, содержащим политическое сообщение, обращённое к жителям Крыма. Из внедрённого шаблона в документе загружается код эксплойта к уязвимости, который, в свою очередь, запускает шеллкод, устанавливающий конечный троянец, сообщает компания Malwarebytes.
Эксплуатируемая уязвимость — CVE-2021-26411 — известна экспертам как одна из излюбленных мишеней северокорейской группировки Lazarus. Её использовали для атак на исследователей по информационной безопасности.
В феврале южнокорейская ИБ-фирма ENKI объявила о том, что некая хакерская группировка, поддерживаемая другим государством, попыталась атаковать сотрудников компании с помощью вредоносных файлов MHTML, которые при открытии скачивали два вредоносных модуля с удалённого сервера. Один из них содержал эксплойт нулевого дня как раз к указанной уязвимости.
В марте Microsoft выпустила исправления к данной уязвимости.
Второй заход
В случае нынешней атаки злоумышленники также пытаются зайти с двух сторон: помимо вредоносного документа, потенциальных жертв атакуют с помощью социальной инженерии, пытаясь заставить их скачать некий шаблон с вредоносным макросом, устанавливающим тот же RAT-троянец.
Таким образом злоумышленники, по-видимому, пытаются увеличить свои шансы на успех.
«Подобные схемы действительно оказываются более успешными, чем одновариантные атаки в лоб, — считает Алексей Водясов, технический директор компании SEC Consult Services. — Тем более, что Internet Explorer, уязвимость в котором используется хакерами как один из основных векторов атаки, это уже почти ушедшая натура — им уже очень мало кто пользуется».
По данным Malwarebytes, троянец собирает системные метаданные, пытается определить, какое антивирусное ПО установлено в системе, и выполняет команды, поступающие с контрольного сервера. Эти команды включают считывание, удаление и загрузку произвольных файлов, а также выгрузку данных на внешний сервер.
Эксперты Malwarebytes обнаружили также панель управления под названием Ekipa, которая используется для слежки за жертвами и сбора данных о результате успешного взлома.