Раскрыта новая кибератака, использующая уязвимости «нулевого дня»

Sednit действует как минимум с 2004 года, сообщает "3Dnews".

Именно этой группе приписывают атаки на Национальный комитет Демократической партии США, парламент Германии и французский телеканал TV5 Monde, а также взлом базы данных допингового агентства WADA.

В новой кибератаке хакеры используют эксплойты к уязвимостям "нулевого дня" в продуктах Microsoft. Внимание специалистов привлекла фишинговая рассылка с документом под названием Trump’s_Attack_on_Syria_English.docx во вложении. Это сообщение-приманка использует тему ракетного удара по Сирии, а вложение содержит копию соответствующей статьи о решении Дональда Трампа.

Собственно документ предназначен для загрузки вредоносной программы Seduploader — известного инструмента разведки из арсенала группы Sednit. С этой целью хакеры используют два эксплойта — к уязвимости удалённого выполнения кода в Microsoft Word (CVE-2017-0262) и к уязвимости локального повышения привилегий в Windows (CVE-2017-0263). Эти "дыры" уже закрыты корпорацией Microsoft, но, разумеется, большое количество владельцев компьютеров не загрузили патчи.

ESET отмечает, что кибергруппа Sednit не снижает активности и не меняет привычки — известные методы, повторное использование кода из других вредоносных программ и пр.

Хакеры продолжают дорабатывать инструментарий, добавляя новые встроенные функции, в частности, модуль для получения скриншотов.

Фото: "3Dnews"