Киберкомандование США предупредило об использовании хакерами уязвимости в Outlook с целью внедрения вредоносного ПО в правительственные сети.
Речь идет об уязвимости CVE-2017-11774, обнаруженной и исправленной Microsoft в 2017 году. Этот баг позволяет выйти за пределы окружения песочницы Outlook и выполнить вредоносный код на системе.
В прошлом году уязвимость взяла на вооружение иранская проправительственная группировка APT33 (или Elfin), в основном известная разработкой вредоносной программы Shamoon, стирающей данные с жестких дисков. По данным ИБ-компании FireEye, в атаках в минувшем декабре группировка внедряла бэкдоры на web-серверы и использовала CVE-2017-11774 для заражения систем жертв вредоносным ПО.
Атаки APT33 совпали по времени с сообщениями о появлении новых версий Shamoon. Хотя специалисты не нашли связи между двумя этими событиями, по словам эксперта Chronicle Security Брэндона Ливина, образцы, загруженные Киберкомандованием США на VirusTotal, имеют отношение к атакам Shamoon в 2017 году.
В интервью изданию ZDNet Ливин пояснил, что три из пяти вредоносов представляют собой инструменты для управления скомпрометированными web-серверами, а остальные два - загрузчики, использующие PowerShell для загрузки трояна для удаленного доступа PUPY RAT. По словам эксперта, если атаки с эксплуатацией CVE-2017-11774 и данные вредоносы действительно связаны между собой, это проливает свет на то, как именно APT33/операторы Shamoon компрометируют объекты атак, поскольку ранее информации о векторах заражения было немного.
В ноябре минувшего года Кибернетическое командование США запустило проект, в рамках которого публикует на VirusTotal незасекреченные образцы вредоносного ПО, используемого в атаках различных APT-группировок.
