Киберкомандование США предупредило, что иранские хакеры эксплуатируют уязвимость в Outlook. Речь идет об иранской APT33, печально знаменитой созданием вайпера Shamoon.
Уязвимость, о которой предупреждает Киберкомандование, это баг CVE-2017-11774, исправленный Microsoft еще в 2017 году. Ошибка, обнаруженная исследователями из компании SensePost, позволяет малвари сбежать из песочницы Outlook и выполнить вредоносный код на уровне ОС.
Уже в 2018 году данная проблема была взята на вооружение правительственными хакерами из иранской группировки APT33 (она же Elfin). Так, в конце декабря 2018 хакеры устанавливали бэкдоры на веб-серверах, а затем использовали их для доставки эксплоита CVE-2017-11774 в почтовые ящики пользователей, чтобы заразить их системы вредоносным ПО.
«Когда у атакующих есть легитимные учетные данные, они находят общедоступный Outlook Web Access (OWA) или Office 365, который не защищен двухфакторной аутентификацией. После этого злоумышленники используют украденные учетные данные и инструменты вроде RULER, для доставки [CVE-2017-11774 ], эксплуатируя легитимную функциональность Exchange», — объясняют в своем отчете эксперты компании FireEye.
Тогда атаки, эксплуатирующие уязвимость CVE-2017-11774, происходили одновременно с заражениями печально известным вредоносом Shamoon, который умышленно уничтожает данные своих жертв. Но в то время связь между эксплуатацией уязвимости в Outlook и развертываниями Shamoon доказана не была.
Теперь эксперт Chronicle Security Брэндон Левен сообщил изданию ZDNet, что образцы малвари, о которых пишет Киберкомандование (образцы были залиты на VirusTotal) похоже, могут быть связаны с активностью Shamoon и атаками 2017-2018 годов. Так, три из пяти образцов - это инструменты для манипулирования скомпрометированными веб-серверами, тогда как два других — загрузчики, использующие PowerShell для доставки PUPY RAT. Левен полагает, что если CVE-2017-11774 использовалась вместе с этой малварью, это объясняет, как злоумышленники из APT33 могли скомпрометировать свои цели.
Нужно заметить, что в своем сообщении Киберкомандование США не называет APT33 по имени, однако Левен, а также эксперты из Palo Alto Networks и FireEye (1 , 2) уверяют, что речь идет именно об этой хак-группе.
Напомню, что это уже не первое предупреждение о росте активности иранских хакеров за последнее время. Еще в марте текущего года о подозрительной активности APT33 предупреждали аналитики компании Symantec. А две недели тому назад Американское подразделение кибербезопасности (Cybersecurity and Infrastructure Security Agency, CISA), относящееся к Министерству внутренней безопасности США, предупредило, что активность иранских хакеров растет, и призвало американские компании принять защитные меры.
