Ранее в этом месяце, в составе ежемесячного «вторника обновлений», разработчики Microsoft представили исправление для уязвимости CVE-2017-11882 . Данный баг обнаружили специалисты компании Embedi, он позволяет выполнить на уязвимом устройстве произвольный код без взаимодействия с пользователем и существовал в Microsoft Office на протяжении долгих 17 лет. Проблема связана с работой Microsoft Equation Editor (EQNEDT32.EXE). Как следует из названия, данный инструмент позволяет пользователям внедрять в документы Office математические уравнения в виде объектов OLE.

Спустя чуть больше недели после выхода патча и появления в сети сразу нескольких proof of concept эксплоитов для уязвимости (1234), проблему взяли на вооружение хакеры как минимум из одной группировки — Cobalt. Эта группа известна специалистам уже несколько лет, в частности, ИБ-эксперты полагают, что Cobalt имеет российские корни и напрямую связана с другой известной группировкой, Buhtrap, из-за сходства используемых инструментов. Основными целями группировки обычно являются банки, финансовые организации, сети банкоматов и так далее.

По данным британской компании Reversing Labs, члены Cobalt применяют баг CVE-2017-11882 для создания вредоносных документов RTF, которые затем используются для таргетированных атак на приоритетные для хакеров цели. Эксплуатируя данную уязвимость, преступники доставляют на устройства жертв дополнительную малварь в виде файлов DLL, которые исследователи еще продолжают изучать.

Аналитик компании Proofpoint Мэттью Меса (Matthew Mesa) тоже обратил внимание на вредоносную активность Cobalt, но он заметил немного другой сценарий эксплуатации проблемы:

Нужно сказать, что это не первый случай, когда Cobalt находит применение уязвимостям в продуктах Microsoft практически сразу после публикации данных о них. К примеру, практически то же самое произошло с RCE-багом в .NET Framework (CVE-2017-8759), который был исправлен в сентябре 2017 года.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии