Microsoft проливает свет на дело рук группы продвинутых угроз, известной как MuddyWater

Лиам Тунг | 11 апреля 2019. 13:21 GMT (06:21 PDT) | Тема: Безопасность

Microsoft подробно описала мартовскую атаку на пользователей Windows в секторах спутниковой связи и связи с использованием «необычных, интересных технологий», которые являются отличительными чертами группы APT MuddyWater.

Полученные ATP служебные файлы Office 365 компании, загруженные с недавно обнаруженным недостатком WinRAR, CVE-2018-20250, который в последние месяцы стал широко использоваться среди групп по киберпреступности и хакеров из национальных государств.

Ошибка была взломана для взлома после того, как 20 февраля сообщение израильской охранной компании Check Point показало, что вредоносный файл ACE может быть размещен в любом месте на ПК с Windows после извлечения WinRAR. Местоположения включают папку автозагрузки Windows, в которой вредоносное ПО будет автоматически запускаться при каждой перезагрузке.

За месяц до отчета Check Point разработчики WinRAR выпустили новую версию, в которой была прекращена поддержка ACE, поскольку она не смогла обновить библиотеку в WinRAR под названием Unacev2.dll, которая содержала ошибку обхода каталога.

Читайте так же

Скидки в магазине Microsoft Store Экономьте до 700... Игровые ноутбуки, два в одном и многое другое можно приобрести со скидкой. В магазине Microsoft происходит распродажа. Проверьте его продажи ПК, и вы найдете предложения на ноутбуки, кабриолеты два-в-одном и настольные компьютеры. Самые большие скидки можно найти с игровыми ноутбуками, но есть также пара два-в-одном, которые предлагают большую эко...
Microsoft демонстрирует Project xCloud с Forza, ра... Microsoft поделилась дополнительной информацией и первым взглядом на Project xCloud. Компания работает над сервисом потоковой передачи облачных игр. Microsoft готовит будущее игровых платформ с помощью независимой от устройств службы, которая позволяет вам транслировать игры, созданные для Xbox One. И первая демонстрация. это Forza Horizon 4, рабо...
Microsoft: мы закрываем планшетных писем Office 36... Microsoft пересматривает планы по включению подсказок по электронной почте для бизнес-пользователей Office 365 по умолчанию. Лиам Тунг | 6 ноября 2018 - 12:17 GMT (04:17 PST) | Тема: Программное обеспечение для предприятий Планируется, что Microsoft начнет отправлять сообщения электронной почты бизнес-пользователям Office 365 с советами о том,...

Однако к марту, когда Microsoft обнаружила эту атаку, вероятно, большая часть из 500 миллионов пользователей WinRAR в мире не обновилась до версии без ACE или не удалила уязвимую DLL.

Деятельность группы MuddyWater впервые была замечена в 2017 году. Известно, что она ориентирована на пользователей на Ближнем Востоке, в Европе и США. Группа часто проверяет фишинговые документы так, как будто они из органов безопасности различных правительств.

Атака, подробно описанная Рексом Плантадо из исследовательской группы Office 365 ATP, использовала фишинговую электронную почту, предположительно от Министерства иностранных дел (МИД) Исламской Республики Афганистан. В электронном письме спрашивались «очень конкретные цели» для ресурсов, телекоммуникационных услуг и спутниковых карт.

Социальная инженерия, использованная в кампании, была разработана для того, чтобы обеспечить полную удаленную компрометацию машины в рамках ограничений эксплойта WinRAR.

Прилагаемый документ Word предлагает пользователю загрузить другой документ по ссылке OneDrive без макросов. выбор, вероятно, сделан, чтобы избежать обнаружения.

Если щелкнуть ссылку, она загрузит архивный файл со вторым документом Word, на этот раз с вредоносным макросом. Если жертва игнорирует предупреждение системы безопасности о макросах, вредоносное ПО доставляется на ПК.

Документ также содержит кнопку «Следующая страница», которая отображает поддельное предупреждение о том, что определенный DLL-файл отсутствует, и утверждает, что компьютер должен быть перезагружен.

После включения макроса сценарий PowerShell собирает информацию о системе, помечает ее уникальным идентификатором и отправляет ее на удаленный сервер. Этот сценарий также является ключевым механизмом извлечения вредоносного файла ACE с помощью эксплойта для CVE-2018-20250, который отбрасывает полезную нагрузку с именем dropbox.exe.

Читайте так же

Microsoft демонстрирует Project xCloud с Forza, ра... Microsoft поделилась дополнительной информацией и первым взглядом на Project xCloud. Компания работает над сервисом потоковой передачи облачных игр. Microsoft готовит будущее игровых платформ с помощью независимой от устройств службы, которая позволяет вам транслировать игры, созданные для Xbox One. И первая демонстрация. это Forza Horizon 4, рабо...
Обновление для Windows 10 мая 2019 г. теперь досту... Microsoft намеренно медленно выпускает это обновление, чтобы избежать проблем Обновление Windows 10 за октябрь 2018 пришлось вытянуть из-за критических ошибок Средство создания медиа позволяет пользователям выполнять чистую установку Windows 10 Теперь любой желающий может вручную загрузить и установить обновление для Windows 10 мая 2019 с помощь...
Отключение Microsoft Bing в Китае, возможно, было ... Reuters сообщает, что перебои в работе поисковых систем не соответствовали преднамеренному блокированию цензуры. Поисковая система Bing от Microsoft была недоступна в пятницу в Китае. Jaap Arriens / NurPhoto через Getty Images Правительство Китая, возможно, не подвергло цензуре поисковую систему Bing от Microsoft. Reuters сообщило в понедельник...

В то время как Check Point предположил, что папка «Автозагрузка» будет идеальным местом для размещения вредоносного ПО, Microsoft отмечает, что можно перенести файл в известные или заранее определенные папки SMB.

Безопасность

Однако в этом случае dropbox.exe удаляется в папку «Автозагрузка», как только пользователь пытается извлечь любой из трех файлов JPEG в архиве ACE.

Ложь о недостающем файле DLL и необходимости перезагрузки компьютера заключается в том, что CVE-2018-20250 позволяет вредоносной программе записывать файлы только в указанную папку, но не может запускаться немедленно, объясняет Plantado. Вот почему удаление полезной нагрузки в папку «Автозагрузка» было идеальным, поскольку она запускается после перезагрузки компьютера.

«Payload dropbox.exe выполняет те же действия, что и вредоносный макрокомпонент, что помогает обеспечить работу бэкдора PowerShell». объясняет Plantado.

«Бэкдор PowerShell может позволить удаленному злоумышленнику получить полный контроль над скомпрометированным компьютером и сделать его стартовой площадкой для более злонамеренных действий. Выявление и остановка атак на ранних этапах имеет решающее значение для предотвращения дополнительного, как правило, более разрушительного воздействия необнаруженных вредоносных имплантов «.

Аналитик по безопасности Microsoft отмечает, что злонамеренный макрос использовал передовые методы, чтобы избежать обнаружения, включая использование собственного механизма сценариев Microsoft.

Читайте так же

Узнайте, как пройти сертификацию в Microsoft Azure... Вы будете ошеломлены, узнав, что AWS. не единственный облачный ответ, доступный на рынке. На самом деле у Microsoft есть собственная облачная платформа, репутация которой растет. Вы сможете узнать, что это возможно, с помощью полного пакета подготовительного пакета сертификации Microsoft Azure 2019 года со скидкой более чем на 90% до всего лишь 29 ...
Red Dead Redemption 2 на Xbox Один X для Run 4G с ... Особенности Разрешение Xbox One X было подтверждено Xbox France Неизвестно, есть ли версия PS4 Pro на родной 4K Red Dead Redemption 2 выходит 26 октября Red Dead Redemption 2 для PS4 Pro может быть под вопросом, но это не похоже на Xbox One X. Официальная учетная запись Xbox France Twitter заявила, что разрешение Red Dead Redemption 2...
Windows Terminal App от Microsoft получает интерфе... Microsoft только что запустила новое приложение Windows Terminal на своей ежегодной конференции разработчиков Build в Сиэтле, перенеся приложение командной строки в современную эпоху. Как и обновленный браузер Edge от Microsoft, новое приложение Windows Terminal будет поддерживать вкладки, а также некоторые новые дополнения, которые сделают его бол...