Инциденты

Нет предела несовершенству

Почти месяц назад мы предупреждали об очередной zero-day уязвимости в Adobe Flash Player, которая в тот момент активно эксплуатировалась злоумышленниками в ходе целевых атак. Тогда в файлы Microsoft Excel внедрялись вредоносные SWF-файлы; Excel при этом использовался исключительно как средство доставки вредоносного кода.

В этом месяце настала очередь Microsoft Word. Согласно данным, опубликованным Брайаном Кребсом, вредоносный документ Word имеет много общего с вредоносным Excel-файлом, о котором мы писали ранее. Судя по всему, новый зловред либо создан теми же авторами, либо навеян их творением.

Тем не менее, эти два зловреда имеют некоторые отличия. Так, в данном случае в атаке используется не Poison Ivy, а другой бэкдор, который некоторые специалисты по IT-безопасности называют Zolpiq, хотя большинство используют generic-обозначение.

По сравнению с Poison Ivy, Zolpiq ведет себя в системе более скрытно. Этим можно объяснить тот факт, что в этой волне атак он заменил популярный Poison Ivy. Начиная с 10 апреля продукты «Лаборатории Касперского» детектируют новый бэкдор как Trojan-Dropper.Win32.Small.hgt.

Комментарии прошлого месяца по-прежнему актуальны. Чтобы борьба с целевыми атаками была более эффективной, производителям ПО следовало бы позволить отключать в своих продуктах определенные функции. Лично мне не нужна возможность просматривать Flash-файлы, внедренные в документы Word или Excel — думаю, что и вам тоже. Однако в данный момент пользователь может только удалить приложение — других вариантов у него нет.

Нет предела несовершенству

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике