Вредоносная кампания, действующая в течение как минимум двух месяцев через электронную почту, нацелена на русскоязычные предприятия и распространяет новый Windows-бэкдор, предупреждает Trend Micro.
В этих атаках используются множество эксплойтов и компонентов Windows для запуска вредоносных скриптов. Самый ранний образец вредоносной программы, связанный с атакой, был загружен на VirusTotal 6 июня 2017 года, далее Trend Micro наблюдала пять случаев рассылки спама с 23 июня по 27 июля 2017 года. Эксперты предполагают, что кампания продолжается.
Целью этих атак являются финансовые учреждения (такие как банки) и горнодобывающие фирмы. Исследователи Trend Micro заметили, что злоумышленники разнообразили свою тактику, отправив разные электронные письма для каждого этапа вредоносной кампании.
Письма выглядят так, как если бы они пришли из отдела продаж, в них содержится вредоносный файл RTF, который использует уязвимость CVE-2017-0199 в OLE-интерфейсе. Эту брешь также используют такие хакерские группы, как Cobalt и CopyKittens.
После выполнения кода эксплойта загружается поддельный файл XLS, в который встроен вредоносный JavaScript. При открытии заголовок Excel игнорируется, и файл обрабатывается как HTML компонентом Windows mshta.exe.
Код JavaScript вызывает стандартный исполняемый файл odbcconf.exe, который активирует различные задачи, связанные с компонентами доступа к данным Microsoft, для запуска библиотеки DLL. После выполнения DLL копирует файл в папку %APPDATA% и добавляет к нему расширение .txt, хотя на самом деле это файл SCT (скрипт Windows), обычно используемый для объявления переменных и добавления функциональных кодов на веб-страницах. Этот файл упакован с вредоносным, обфусцированным JavaScript.
Также DLL-файл вызывает утилиту командной строки Regsvr32 (Microsoft Register Server) для выполнения с определенными параметрами. Этот метод получил название Squiblydoo, он использует Regsvr32 для того, чтобы обойти ограничения на запуск скриптов. Ранее его использовала вьетнамская хакерская группировка APT32.
«Несмотря на то, что метод Squiblydoo является далеко не новым вектором для атаки, мы впервые наблюдали за его применением вместе с odbcconf.exe» - Trend Micro.
Следующим этапом загружается и выполняется еще один вредоносный XML-файл с домена wecloud[.]biz. Это основной бэкдор, используемый в этой атаке.
Этот бэкдор представляет собой файл SCT с обфусцированным кодом JavaScript внутри, он поддерживает команды, которые, по сути, позволяют злоумышленникам завладеть зараженной системой. Бэкдор пытается подключиться к командному серверу hxxps://wecloud[.]biz/mail/ajax[.]php и получить инструкции.
На основе полученных команд зловред может загружать и выполнять исполняемые файлы и совершать другие вредоносные действия.
Слитые на днях документы показали, что GrayKey, инструмент для взлома iPhone, может получить доступ и к последней модели смартфона — iPhone 16. Однако только в том случае, если он работает на не бета-версии iOS 18.
Разработчики GrayKey и Cellebrite скупают информацию об уязвимостях нулевого дня, которые Apple ещё не успела пропатчить. Интересно, что обе компании регулярно публикуют таблицу с актуальным списком девайсов, которые можно взломать.
Изданию 404Media удалось получить часть внутренних документов Graykey, согласно которым софт может взломать всю линейку iPhone 11, а также частично модели с iPhone 12 по iPhone 16 включительно.
Таким образом, можно сделать вывод, что последние существенные аппаратные меры безопасности Apple реализовала именно в iPhone 12. Тем не менее, поскольку подробности не раскрываются, остаётся лишь гадать, что значит «частичный взлом».
Это может быть обычный доступ к незашифрованному содержимому хранилища и метаданным зашифрованного контента. Однако GrayKey не может ничего противопоставить любой из бета-версий iOS 18, о чём говорит сама таблица.
Отметим также новую функцию безопасности в iOS 18 — автоматический перезапуск iPhone, который недавно добавил головной боли полиции.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
