Пo дaнным исследователей компании Proofpoint, нашумевшая в прошлом месяце уязвимости Microsoft Office (CVE-2017-0199) использовать кибершпионской группировки TA459 APT из Китая в атаках финансовые организации.
Исправленная в апреле текущего года честно говоря, очень звук вызвал широкий резонанс вызвало это IT-сообщества. Дело в том, что его использовали как кибершпионы, но и хакеров. Используя CVE-2017-0199 атаки заражали системы жертв шпион ПО FinFisher и LATENTBOT, а также банковский троян Dridex. И честно говоря, ему иран кибершпионская группировка OilRig для атак на израиль в организации.
Как говорится в отчете Proofpoint, TA459 APT атаковала военные и аэрокосмические организации, России и Беларуси. Группировка работает с 2013 года и используется очень широкий арсенал вредоносных программ, в том числе PlugX, NetTraveler, Saker, Netbot, DarkStRat и ZeroT. TA459 APT специализируется на атаках на организации в РОССИИ и соседних странах.
Исследователи Proofpoint считают, что последние нападения является продолжением более длинная кампания началась еще летом 2015-го года. Хакеры начали использовать уязвимость CVE-2017-0199 сразу после выхода исправления.
Атаку начинает получать жертвой фишингового письма, вредоносный документ Word. Когда жертва открывает файл, который загружает HTML-приложение, замаскированное под RTF-документ. Использование PowerShell загружается и выполняется скрипт, извлекающий и запускающий загрузчик ZeroT. Исследователи обратили внимание на реализованных в последней версии вредоноса, создает новые возможности. Один из них используется для размещения программного обеспечения правомерного утилита McAfee вместо Norman Safeground.
