Пo дaнным исслeдoвaтeлeй кoмпaнии Proofpoint, нaшумeвшaя в прoшлoм мeсяцe уязвимoсть в Microsoft Office (CVE-2017-0199) испoльзoвaлaсь кибeршпиoнскoй группирoвкoй TA459 APT из Китая в атаках на финансовые организации.
Исправленная в апреле текущего года уязвимость наделала много шума в ИБ-сообществе. Дело в том, что её использовали как кибершпионы, так и хакеры. С помощью CVE-2017-0199 злоумышленники заражали системы жертв шпионским ПО FinFisher и LATENTBOT, а также банковским трояном Dridex. Также уязвимостью пользовалась иранская кибершпионская группировка OilRig для атак на израильские организации.
Как говорится в отчёте Proofpoint, TA459 APT атаковала военные и аэрокосмические организации в России и Республике Беларусь. Группировка работает с 2013 года и использует весьма обширный арсенал вредоносного ПО, в том числе PlugX, NetTraveler, Saker, Netbot, DarkStRat и ZeroT. TA459 APT специализируется на атаках на организации в РФ и соседних странах.
Исследователи Proofpoint считают, что недавние атаки являются продолжением более длительной кампании, обнаруженной еще летом 2015 года. Хакеры начали использовать уязвимость CVE-2017-0199 сразу после выхода исправления.
Атака начинается с получения жертвой фишингового письма с вредоносным документом Word. Когда жертва открывает файл, загружается HTML приложение, замаскированное под RTF-документ. С помощью PowerShell загружается и выполняется скрипт, извлекающий и запускающий загрузчик ZeroT. Исследователи обратили внимание на реализованные в последней версии вредоноса новые возможности. Одной из них является использование для развертывания приложения легитимной утилиты McAfee вместо Norman Safeground.