Шкідлива програма Cobalt використовує законні інструменти для несанкціонованого проникнення, щоб отримувати доступ до великої кількості заражених систем, але набір змін є доступний.
Хакери використовують недавно виявлену вразливість Microsoft Office для поширення шкідливої програми Backdoor, яка здатна контролювати заражену систему, надаючи зловмисникам можливість витягувати файли, виконувати команди та багато іншого.
Хакерська програма Cobalt володіє такими потужними можливостями, тому що використовує добре відомий та допустимий інструмент для тестування проникнень, Cobalt Strike – це форма програмного забезпечення для Adversary Simulations і Red Team Operations, яка може використовуватися для доступу до прихованих каналах в системі.
Єдине, що допомагає кампанії бути ще сильнішою, – це використання експлойта Microsoft Word, який був активним протягом 17 років, але був розкритий і виправлений раніше в цьому місяці.
Шкідливий код CVE-2017-11882 – це вразливість віддаленого виконання коду, який існує в програмному забезпеченні Microsoft Office в результаті чого, програмне забезпечення обробляє певні об’єкти в пам’яті.
Зломщики можуть використовувати цю помилку в документі для виконання довільного коду, що (якщо користувач має права адміністратора) і дозволяє хакеру видавати команди або надавати шкідливе програмне забезпечення, яке може керувати системою.
Незважаючи на те, що вразливість була розкрита тільки кілька тижнів тому, дослідники з корпорації Fortinet встигли виявити, що зловмисники швидко скористалися нею, в надії поширити шкідливе ПЗ, перш ніж користувачі встановили відповідне оновлення для системи безпеки.
Спеціальна компанія націлена на російськомовних користувачів зі спам-повідомленням, заявляють, що повідомлення про втрату чинності від компанії Visa і внесення змін до правил для послуги payWave.
Повідомлення містить захищений паролем RTF-документ, який надається користувачу для розблокування. Цей RTF-файл містить шкідливий код, але захист паролем допомагає приховати його від виявлення.
Після відкриття, користувач отримує практично порожній документ, за винятком слів «Enable Editing». Однак, як і в багатьох кампаніях із шкідливими програмами, дивний характер цього документу служить прикриттям для його справжніх намірів, в даному випадку, мова йде про запуск сценарію PowerShell для завантаження Cobalt Strike та контролю над системою жертви.
Після встановлення зловмисники можуть контролювати систему жертви та переміщатися по мережі за допомогою команд Cobalt Strike.
«Агенти загрози завжди знаходяться в пошуку слабких місць, щоб впроваджуватися в систему і використовувати їх для таких шкідливих кампаній, як ця. Це стосується як нових, так і старих вразливостей, незалежно від того, чи були вони розміщені чи ні. Ми часто маємо справу із шкідливими кампаніями, що використовують вразливості, які були виправлені протягом декількох місяців або навіть років », – як писали дослідники корпорації Fortinet Джаспер Менюел та Джої Сальвіо.
Також, вони додали – «Можливо, це виходить з припущення про те, що як і раніше існує значне число користувачів, які не сприймають серйозно оновлення програмного забезпечення, що, на жаль, трапляється занадто часто».
Користувачі Microsoft Office можуть завантажити важливі оновлення, яке захистять їх від вразливостей CVE-2017-11882, – в той час як ті, хто встановив поновлення, вже не схильні до цієї атаки.
[vc_row row_padd=”xs-padding” section_bg_color=”#f5f5f5″][vc_column width=”1/6″][vc_single_image image=”22017″ img_size=”113*150″ alignment=”right”][/vc_column][vc_column width=”5/6″][vc_column_text css=”.vc_custom_1483612005172{margin-right: 100px !important;margin-left: 10px !important;}” it_color=”#000000″]Фахівці компанії «АМІКА» завжди готові проконсультувати вас по сервісах, послугах та пристроях захисту ваших ресурсів. Ми займаємося наступними напрямками:
- Захист від витоку конфіденційної інформації за межі компанії (DLP).
- Захист від цілеспрямованих атак хакерів (APT).
- Захист від DDOS.
- Захист мобільних пристроїв (BYOD і MDM)
- Аудит і перевірка на вразливість
- Тести на проникнення.
Безкоштовну консультацію ви можете отримати, звернувшись до нас по телефону +38 044 355-07-70 або за адресою security@amica.ua.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_row_inner][vc_column_inner width=”1/2″][vc_custom_heading text=”Залишилися запитання? Звертайтеся до наших фахівців.” font_container=”tag:h2|text_align:left|color:%23000000″ google_fonts=”font_family:Open%20Sans%3A300%2C300italic%2Cregular%2Citalic%2C600%2C600italic%2C700%2C700italic%2C800%2C800italic|font_style:300%20light%20regular%3A300%3Anormal”][vc_column_text]
Заповніть форму праворуч і наші менеджери зв’яжуться з вами протягом 10 хвилин.
[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/2″][vc_column_text][amoforms id=”8″][/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row]