В кампаниях по распространению зловредов Finspy и Latenbot для шпионажа использовалась одинаковая 0day-уязвимость в Word, а у документов была одинаковая дата и время последней редакции
Несколько дней назад в открытом доступе ещё до выхода патча была опубликована информация о новой 0day-уязвимости в Word (во всех версиях под все поддерживаемые операционные системы). Сообщалось, что уязвимость позволяет незаметно выполнить на компьютере жертвы произвольный код и установить вредоносное программное обеспечение через документ RTF. Вкратце описывался механизм работы зловреда.
Изощрённый характер атаки и использование 0day в популярном продукте намекали на то, что уязвимость целенаправленно использовалась против важных целей, а саму атаку проводили хакеры, близкие к спецслужбам и государственным структурам. Так оно и вышло.
Напомним, что первые атаки с использованием этого 0day в январе текущего года. Если в Microsoft Word отключен защищённый режим Office Protected View, то при открытии документа эксплойт запускается автоматически. После этого процесс winword.exe делает HTTP-запрос к удалённому серверу, откуда скачивает файл HTA (приложение HTML), замаскированное в виде документа RTF. Файл HTA автоматически запускается и исполняет вредоносный скрипт.
Этот скрипт закрывает первоначальный заражённый файл Word, а вместо него демонстрирует пользователю подставной текстовый документ. Оригинальный процесс winword.exe закрывается, чтобы скрыть от пользователя окно, которое выводит OLE2Link.
Одновременно скрипт скачивает с удалённого сервера дополнительный вредоносный код для установки на компьютере. При помощи исполнения .hta авторы эксплойта эффективно обходят все меры по защите памяти, реализованные в Microsoft, а также антивирусную защиту и большинство других методов защиты.
Сразу скажем о главном.
Во-первых, уязвимости уже присвоен номер по классификатору: CVE-2017-0199.
Во-вторых, Microsoft, наконец-то, выпустила патчи для MS Office 2007, 2010, 2010, 2013 и Windows Vista, 7, Server 2008, Server 2012.
Сейчас специалисты FireEye выложили более подробный технический анализ в двух частях (1, 2), так что некоторые детали начинают проясняться.
FireEye опубликовала информацию о двух документах, которые использовали злоумышленники для атаки.
FireEye имеет информацию, что уязвимость CVE-2017-0199 использовалась для государственного шпионажа. Этот 0day применялся в атаках c доставкой старых известных зловредов Finspy и Latenbot в январе и марте 2017 года, а последняя атака Dridex началась после разглашения информации об уязвимости 7 апреля. Но сходство между реализацией этих трёх атак указывает на то, что их организаторы получили код из одного источника, пишет FireEye.
Самой первой из трёх атак была атака с доставкой Finspy, впервые обнаруженная 25 января 2017 года. Во время атаки распространялся русскоязычный документ, якобы за авторством Министерства обороны РФ и опубликованный в Донецкой народной республике. Документ называется «Спутник разведчика».
При открытии документа СПУТНИК РАЗВЕДЧИКА.doc (MD5: c10dabb05a38edd8a9a0ddda1c9af10e) запускался эксплойт, который уже скачивал с IP-адреса 95.141.38.110 полезную нагрузку, в том числе трояна Finspy. У него была универсальная функциональность: поиск документов на диске, прослушивание разговоров Skype и т. д. Кроме трояна, скачивался и подставной документ, который демонстрировался жертве вместо оригинального.
FireEye не удалось определить цели атаки, но компания подчёркивает, что инструмент Finspy продавался корпорацией Gamma Group заказчикам из разных стран. В то же время почти одновременно 0day-уязвимость использовалась для распространения зловреда Latentbot. Организаторы обеих атак получили код, вероятно, из одного источника, на что указывает одинаковая дата и время последней редакции вредоносных документов, которые использовались в обеих кампаниях: 2016-11-27 22:42:00 (см. скриншот в начале статьи).
После того, как информация о 0day попала в открытый доступ, некто начала спам-кампанию, распространяя заражённые документы в больших количествах. В этом случае на заражённые компьютеры устанавливается зловред Dridex. Спам-кампания продолжается до настоящего времени, так что не удивляйтесь, если получите письмо с вложением в формате RTF или DOC (внутри всё равно будет документ RTF).
Поделиться с друзьями
Комментарии (16)
KiloLeo
14.04.2017 10:41+2Да, спецслужбы сделали троян, чтобы рассылать всем жертвам методичку «Спутник разведчика». И специально на титульном листе указали свою принадлежность, чтобы по-секретнее было.
Alexsandr_SE
14.04.2017 10:48+1Странно, что не было написано про США, все враги именно там ведь.
Скорее всего после опубликования все кому не лень стали пробовать данный вариант. Обновления то очень много народу не поставит.
Alcor
14.04.2017 10:50Интересно. Все ссылки, опубликованные в отчете, дохлые. Поиск по названию файла и его md5 выдает только эту статью и её первоисточники.
А был ли мальчик? Эту «массовую рассылку» живьём кто-нибудь видел?Libert
14.04.2017 12:46Специально для конспирологов — вот семплы данной CVE, после регистрации будет доступно скачивание.
В гугле информации — полно, не знаю как Вы искали.
agaruppa
Видел эту новость и до сих пор не очень ясно только компьютеры на винде подвержены уязвимости или любой комп на любой системе с установленным ms office?
alexws54tk
Скорее всего только шиндошс, учитывая список заплаток. Хотя, это зависит от того, какое масштабирование заложено авторами изначально. Подозреваю, что можно попробовать заставить работать весь этот зоопарк под Вайном.
Feodot
Да если и заработает оно под Вайном (я про трояны), вреда мало нанесут
hokum13
Ну если Вы под Linux-ом не работаете, то наверное и немного. Если работаете, то как минимум у Вас уведут документы и поймут какая ОС, а потом смогут заслать специфичный для Linux-а троян. Правда если Вы постоянно работаете под Linux-ом, то не понятно зачем Вам MSO, если есть LOo?
hurtavy
Зачем? Дело в том, что LOo не всегда корректно отрабатывает скрипты. Да и форматирование портит. Лично проверено при заполнения различных форм, например, отчётов по госпрограммам
hokum13
Я тут 2013-й на 2016-й в компании меняю (лицензию апнули). На 2013-м некоторые файлы из 2016-го excel-я не открываются. При весе в килобайты (251 строка на 7 столбцов) ругаются на переполнение памяти! А в 2016-м нормально.
Про форматирование в «режиме чтения» у 2013-2016-х офисов я вообще молчу!
Так что у всех разный опыт. А файлики в гос. конторы обычно и в rtf принимают. Отдельные конторы успешно и с odt работают (ФССП например). Что называется — было бы желание.
Просто wine, ИМХО, сильно костыльный инструмент. А костыли я не люблю. В частности за то, что они позволяют запускать в linux-е виндовые вирусы (ось не положит, а home зашифровать может).
hurtavy
Желание… Одного моего желания мало, чтоб заставить Минобр, академию наук и прочие ФФИ поменять документы. Там до сих пор макросы времён 97го офиса и на новых версиях они не работают из-за использования функций, которые уже в 2003 ворде удалили.
Wine — да, костыль. Ну и потом, у меня ещё пара приложений, аналогов которым я в линуксе не нашёл. Поэтому виртуалка+ХР
EnigMan
Вы забываете, что MS Office еще и под MAC OS работает, и пользователей офиса там будет побольше, чем на Линуксе под Вайном.
gringo24
Windows, т.к. (OLE).