Ранее в этом месяце специалисты компаний McAfee и FireEye предупредили, что еще в январе 2017 года хакеры взяли на вооружение новую 0-day уязвимость в Microsoft Office. Еще до выхода патча сообщалось, что новая проблема не имеет никакого отношения к вредоносным макросам, но использует объекты OLE2link, что в итоге позволяет спровоцировать удаленное выполнение произвольного кода на машине жертвы.
В рамках «вторника обновлений» разработчики Microsoft устранили проблему, присвоив ей идентификатор CVE-2017-0199, и после выхода патча стало известно, что через эксплуатацию этого бага распространялась такая малварь, как Dridex, WingBird, Latentbot и Godzilla.
Теперь специалисты компании FireEye сообщили еще более интересные подробности. По данным исследователей, проблему эксплуатировали не только обычные мошенники, но и «правительственные хакеры», чьи атаки были направлены против неизвестных целей в России. Злоумышленники распространяли шпионское ПО Finspy (FinFisher), созданное компанией Gamma Group. Данная компания известна тем, что разрабатывает решения, которые используются правоохранительными органами как минимум 25 стран мира для скрытого наблюдения за преступниками и подозреваемыми, сбора улик.
Более того, специалисты FireEye пишут, что операция неизвестных «правительственных хакеров» шла рука об руку с обычной криминальной активностью. Так, Finspy и Latentbot в данном случае использовали один и тот же билдер, что позволяет предположить, что группировки получили эксплоит для 0-day уязвимости из одного и того же источника. Судя по всему, эксплоит одновременно продавался на черном рынке и клиентам Gamma Group.
С полной версией отчета исследователей можно ознакомиться здесь.