Новости

« Назад

ESET 17.05.2017 12:33

2

 

Специалисты ESET выявили новую кибератаку, реализованную группой российских хакеров Sednit. Киберпреступники используют эксплойты к уязвимостям нулевого дня в продуктах Microsoft.



Группа Sednit, также известная как APT28, Fancy Bear и Sofacy, действует как минимум с 2004 года и специализируется на краже конфиденциальной информации. Группе приписывают атаки на Демократическую партию США, парламент Германии, французский телеканал TV5 Monde и допинговое агентство WADA. В октябре 2016 года ESET опубликовала отчетоб инструментах и тактике Sednit. 



В апреле группа вновь напомнила о себе — хакеров обвинили во «вмешательстве в французские выборы», в частности, в атаке на штаб Эммануэля Макрона и Хиллари Клинтон. Одновременно с этим внимание специалистов ESET привлекла фишинговая рассылка с документом под названием Trump’s_Attack_on_Syria_English.docx во вложении.



Фишинговое письмо эксплуатирует тему решения Дональда Трампа о ракетном ударе по Сирии. Документ-приманка содержит копию соответствующей статьи, опубликованной 12 апреля в The California Courier.



Изучив документ, в ESET установили, что он предназначен для загрузки вредоносной программы Seduploader — известного инструмента разведки из арсенала группы Sednit. С этой целью хакеры используют два эксплойта — к уязвимости удаленного выполнения кода в Microsoft Word (CVE-2017-0262) и к уязвимости локального повышения привилегий в Windows (CVE-2017-0263). Данная схема типична для Sednit — использование фишинговой рассылки с вредоносным вложением для установки инструмента первого этапа.

 

Новая атака подтверждает, что кибергруппа Sednit не снижает активности и не меняет привычки — известные методы, повторное использование кода из других вредоносных программ, небольшие ошибки типа опечатки в конфигурации Seduploader (shel вместо shell). Кроме того, хакеры продолжают дорабатывать инструментарий, добавляя новые встроенные функции, в частности, скриншоттер.

 

3

 

После предупреждения Microsoft выпустила обновление безопасности, закрывающее перечисленные уязвимости. ESET напоминает о необходимости своевременно устанавливать все патчи ПО, выпускаемые производителями, и использовать комплексные решения для безопасности.


Контакты
Вы можете связаться с нами любым удобным для вас способом:
Адрес:
Республика Коми
г. Сыктывкар
ул. Первомайская 70А
офис 310
Звоните по номеру:
По любым вопросом можете оставить заявку и наши специлисты помогут Вам
;