Инциденты

Нет предела несовершенству

Почти месяц назад мы предупреждали об очередной zero-day уязвимости в Adobe Flash Player, которая в тот момент активно эксплуатировалась злоумышленниками в ходе целевых атак. Тогда в файлы Microsoft Excel внедрялись вредоносные SWF-файлы; Excel при этом использовался исключительно как средство доставки вредоносного кода.

В этом месяце настала очередь Microsoft Word. Согласно данным, опубликованным Брайаном Кребсом, вредоносный документ Word имеет много общего с вредоносным Excel-файлом, о котором мы писали ранее. Судя по всему, новый зловред либо создан теми же авторами, либо навеян их творением.

Тем не менее, эти два зловреда имеют некоторые отличия. Так, в данном случае в атаке используется не Poison Ivy, а другой бэкдор, который некоторые специалисты по IT-безопасности называют Zolpiq, хотя большинство используют generic-обозначение.

По сравнению с Poison Ivy, Zolpiq ведет себя в системе более скрытно. Этим можно объяснить тот факт, что в этой волне атак он заменил популярный Poison Ivy. Начиная с 10 апреля продукты «Лаборатории Касперского» детектируют новый бэкдор как Trojan-Dropper.Win32.Small.hgt.

Комментарии прошлого месяца по-прежнему актуальны. Чтобы борьба с целевыми атаками была более эффективной, производителям ПО следовало бы позволить отключать в своих продуктах определенные функции. Лично мне не нужна возможность просматривать Flash-файлы, внедренные в документы Word или Excel — думаю, что и вам тоже. Однако в данный момент пользователь может только удалить приложение — других вариантов у него нет.

Нет предела несовершенству

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике