Компания ESET сообщает о новой кибератаке, реализованной преступной группой Sednit, также известной как APT28, Fancy Bear и Sofacy.
Sednit действует как минимум с 2004 года. Именно этой группе приписывают атаки на Национальный комитет Демократической партии США, парламент Германии и французский телеканал TV5 Monde, а также взлом базы данных допингового агентства WADA.
В новой кибератаке хакеры используют эксплойты к уязвимостям «нулевого дня» в продуктах Microsoft. Внимание специалистов привлекла фишинговая рассылка с документом под названием Trump’s_Attack_on_Syria_English.docx во вложении. Это сообщение-приманка использует тему ракетного удара по Сирии, а вложение содержит копию соответствующей статьи о решении Дональда Трампа.
Собственно документ предназначен для загрузки вредоносной программы Seduploader — известного инструмента разведки из арсенала группы Sednit. С этой целью хакеры используют два эксплойта — к уязвимости удалённого выполнения кода в Microsoft Word (CVE-2017-0262) и к уязвимости локального повышения привилегий в Windows (CVE-2017-0263). Эти «дыры» уже закрыты корпорацией Microsoft, но, разумеется, большое количество владельцев компьютеров не загрузили патчи.
ESET отмечает, что кибергруппа Sednit не снижает активности и не меняет привычки — известные методы, повторное использование кода из других вредоносных программ и пр. Кроме того, хакеры продолжают дорабатывать инструментарий, добавляя новые встроенные функции, в частности, модуль для получения скриншотов.
Источник: 3DNews
