Хакеров Fancy Bear обвинили в атаке через файлы Word
От описания нового способа заражения до создания вируса прошла всего неделя
Антивирусная компания McAfee рассказала о новой хакерской атаке группы APT28, или Fancy Bear. На Западе эту группу считают связанной с российской спецслужбой ГРУ и обвиняют во взломе серверов национального комитета Демократической партии США во время президентской кампании 2016 г.
По данным аналитиков McAfee, новая фишинговая атака использует недавно открытую уязвимость в механизме динамического обмена данными (DDE) в офисном пакете Microsoft Office, пишет Wired. Одного открытого пользователем зараженного файла MS Office, в том числе документа Word, достаточно для заражения компьютера. Сначала на компьютер-жертву устанавливается монитор активности Seduploader, позволяющий злоумышленникам понять, интересует ли их этот пользователь. Затем они могут установить на компьютер полный набор шпионских программ.
Ведущий аналитик-исследователь McAfee Радж Самани говорит, что в новой атаке Fancy Bear его удивила скорость работы злоумышленников: о вредоносном потенциале DDE стало известно всего за неделю до первой атаки 25 октября. В остальном примененная схема типична для фишинга: потенциальной жертве приходит e-mail с файлом, названным как последняя громкая трагедия - типа IsisAttackInNewYork.docx. После его открытия вирус может удаленно «подсосать» вредоносный файл через DDE.
Пока зараженные компьютеры выявлены в Германии и Франции, однако темы посланий позволяют предположить, что целью атаки являются США.
«Мы имеем дело с активной группой... которая комбинирует в одной атаке последние новости и последние находки специалистов по безопасности», - отмечает Самани.
Microsoft считает, что y механизма DDE нет уязвимости как таковой и не планирует вносить изменения, пишет Cyberscoop. Действительно, чтобы задействовать уязвимость, пользователь должен сам подтвердить получение данных от стороннего источника. Однако это окно выглядит достаточно невинно, отмечает Wired. К тому же это очередное свидетельство того, что даже самые умелые хакеры не брезгуют самыми общеизвестными путями, отмечает издание.