Иранская APT-группа внедряет вредоносы в правительственные сети через уязвимость в Outlook

2

Баг позволяет выйти за пределы окружения песочницы Outlook и выполнить вредоносный код на системе.

Киберкомандование США (United States Cyber Command) предупредило об эксплуатации киберпреступниками уязвимости в почтовом клиенте Outlook с целью внедрения вредоносного ПО в правительственные сети.

Речь идет об уязвимости CVE-2017-11774, обнаруженной в 2017 году и исправленной Microsoft в октябре того же года. Данный баг позволяет выйти за пределы окружения песочницы Outlook и выполнить вредоносный код на системе.

В 2018 году уязвимость взяла на вооружение иранская проправительственная группировка APT33 (или Elfin), в основном известная разработкой вредоносной программы Shamoon, стирающей данные с жестких дисков. По данным ИБ-компании FireEye, в атаках в минувшем декабре группировка внедряла бэкдоры на web-серверы и использовала CVE-2017-11774 для заражения систем жертв вредоносным ПО.

Атаки APT33 совпали по времени с сообщениями о появлении новых версий Shamoon. Хотя эксперты не нашли связи между двумя этими событиями, по словам эксперта Chronicle Security Брэндона Ливина (Brandon Levene), образцы, загруженные Киберкомандованием США на VirusTotal, имеют отношение к атакам Shamoon в 2017 году.

В интервью изданию ZDNet Ливин пояснил, что три из пяти вредоносов представляют собой инструменты для управления скомпрометированными web-серверами, а остальные два – загрузчики, использующие PowerShell для загрузки трояна для удаленного доступа PUPY RAT. По словам эксперта, если атаки с эксплуатацией CVE-2017-11774 и данные вредоносы действительно связаны между собой, это проливает свет на то, как именно APT33/операторы Shamoon компрометируют объекты атак, поскольку ранее информации о векторах заражения было немного.

В ноябре минувшего года Кибернетическое командование США запустило проект, в рамках которого публикует на VirusTotal незасекреченные образцы вредоносного ПО, используемого в атаках различных APT-группировок.