Началась массовая рассылка документов, использующих 0day-уязвимость в Word

82132552dec58256ad64c90fd7cc8a9f.png
В кампаниях по распространению зловредов Finspy и Latenbot для шпионажа использовалась одинаковая 0day-уязвимость в Word, а у документов была одинаковая дата и время последней редакции

Несколько дней назад в открытом доступе ещё до выхода патча была опубликована информация о новой 0day-уязвимости в Word (во всех версиях под все поддерживаемые операционные системы). Сообщалось, что уязвимость позволяет незаметно выполнить на компьютере жертвы произвольный код и установить вредоносное программное обеспечение через документ RTF. Вкратце описывался механизм работы зловреда.

Изощрённый характер атаки и использование 0day в популярном продукте намекали на то, что уязвимость целенаправленно использовалась против важных целей, а саму атаку проводили хакеры, близкие к спецслужбам и государственным структурам. Так оно и вышло.
Напомним, что первые атаки с использованием этого 0day в январе текущего года. Если в Microsoft Word отключен защищённый режим Office Protected View, то при открытии документа эксплойт запускается автоматически. После этого процесс winword.exe делает HTTP-запрос к удалённому серверу, откуда скачивает файл HTA (приложение HTML), замаскированное в виде документа RTF. Файл HTA автоматически запускается и исполняет вредоносный скрипт.

2edabf832e2bc6edf64ae387ae60006c.png

Этот скрипт закрывает первоначальный заражённый файл Word, а вместо него демонстрирует пользователю подставной текстовый документ. Оригинальный процесс winword.exe закрывается, чтобы скрыть от пользователя окно, которое выводит OLE2Link.

26ecd54a4b71eaccaadd6883a8a3471a.png

Одновременно скрипт скачивает с удалённого сервера дополнительный вредоносный код для установки на компьютере. При помощи исполнения .hta авторы эксплойта эффективно обходят все меры по защите памяти, реализованные в Microsoft, а также антивирусную защиту и большинство других методов защиты.

Сразу скажем о главном.

Во-первых, уязвимости уже присвоен номер по классификатору: CVE-2017–0199.

Во-вторых, Microsoft, наконец-то, выпустила патчи для MS Office 2007, 2010, 2010, 2013 и Windows Vista, 7, Server 2008, Server 2012.

Сейчас специалисты FireEye выложили более подробный технический анализ в двух частях (1, 2), так что некоторые детали начинают проясняться.

FireEye опубликовала информацию о двух документах, которые использовали злоумышленники для атаки.

FireEye имеет информацию, что уязвимость CVE-2017–0199 использовалась для государственного шпионажа. Этот 0day применялся в атаках c доставкой старых известных зловредов Finspy и Latenbot в январе и марте 2017 года, а последняя атака Dridex началась после разглашения информации об уязвимости 7 апреля. Но сходство между реализацией этих трёх атак указывает на то, что их организаторы получили код из одного источника, пишет FireEye.

Самой первой из трёх атак была атака с доставкой Finspy, впервые обнаруженная 25 января 2017 года. Во время атаки распространялся русскоязычный документ, якобы за авторством Министерства обороны РФ и опубликованный в Донецкой народной республике. Документ называется «Спутник разведчика».

1345e875aa6348388a11883aa3c9e0f7.png

При открытии документа СПУТНИК РАЗВЕДЧИКА.doc (MD5: c10dabb05a38edd8a9a0ddda1c9af10e) запускался эксплойт, который уже скачивал с IP-адреса 95.141.38.110 полезную нагрузку, в том числе трояна Finspy. У него была универсальная функциональность: поиск документов на диске, прослушивание разговоров Skype и т. д. Кроме трояна, скачивался и подставной документ, который демонстрировался жертве вместо оригинального.

FireEye не удалось определить цели атаки, но компания подчёркивает, что инструмент Finspy продавался корпорацией Gamma Group заказчикам из разных стран. В то же время почти одновременно 0day-уязвимость использовалась для распространения зловреда Latentbot. Организаторы обеих атак получили код, вероятно, из одного источника, на что указывает одинаковая дата и время последней редакции вредоносных документов, которые использовались в обеих кампаниях: 2016–11–27 22:42:00 (см. скриншот в начале статьи).

После того, как информация о 0day попала в открытый доступ, некто начала спам-кампанию, распространяя заражённые документы в больших количествах. В этом случае на заражённые компьютеры устанавливается зловред Dridex. Спам-кампания продолжается до настоящего времени, так что не удивляйтесь, если получите письмо с вложением в формате RTF или DOC (внутри всё равно будет документ RTF).

© Geektimes