Раскрыта новая кибератака, использующая уязвимости "нулевого дня"

ESET сообщает о новой кибератаке, реализованной преступной группой Sednit, также известной как APT28, Fancy Bear и Sofacy

Sednit действует как минимум с 2004 года, сообщает "3Dnews".

Именно этой группе приписывают атаки на Национальный комитет Демократической партии США, парламент Германии и французский телеканал TV5 Monde, а также взлом базы данных допингового агентства WADA.

В новой кибератаке хакеры используют эксплойты к уязвимостям "нулевого дня" в продуктах Microsoft. Внимание специалистов привлекла фишинговая рассылка с документом под названием Trump’s_Attack_on_Syria_English.docx во вложении. Это сообщение-приманка использует тему ракетного удара по Сирии, а вложение содержит копию соответствующей статьи о решении Дональда Трампа.

Собственно документ предназначен для загрузки вредоносной программы Seduploader - известного инструмента разведки из арсенала группы Sednit. С этой целью хакеры используют два эксплойта - к уязвимости удалённого выполнения кода в Microsoft Word (CVE-2017-0262) и к уязвимости локального повышения привилегий в Windows (CVE-2017-0263). Эти "дыры" уже закрыты корпорацией Microsoft, но, разумеется, большое количество владельцев компьютеров не загрузили патчи.

ESET отмечает, что кибергруппа Sednit не снижает активности и не меняет привычки - известные методы, повторное использование кода из других вредоносных программ и пр.

Хакеры продолжают дорабатывать инструментарий, добавляя новые встроенные функции, в частности, модуль для получения скриншотов.

Фото: "3Dnews"