Уязвимость в Microsoft Office, пропатченная полгода назад, по-прежнему верно служит APT-группам, действующим преимущественно на территории Юго-Восточной Азии и Дальнего Востока. На днях эксперты «Лаборатории Касперского» опубликовали отчет о текущих атаках, использующих CVE-2015-2545 — брешь удаленного исполнения кода, позволяющую обойти защиту Windows с помощью EPS-файла, внедренного в документ Office.

Эксплуатация этой бреши, как правило, обеспечивает атакующим точку входа в целевую систему. Мишенями шпионских атак являются в основном правительственные ведомства, дипломатические представительства и высокопоставленные персоны в Индии и других азиатских странах, а также их зарубежные офисы.

Патч для данной уязвимости был выпущен в сентябре (MS15-099) и обновлен в ноябре, однако APT-группы до сих пор ее с успехом эксплуатируют, пользуясь небрежным отношением к патчингу в целевых организациях. Эксперты также зафиксировали случаи применения эксплойта CVE-2015-2545 рядовыми хакерами, в частности криминальными группами, атакующими финансовые институты Азии. Тем не менее успех в данном случае чаще сопутствует APT-группам; в ходе исследования было обнаружено с полдюжины таких организаций, в том числе две новые, использующие модифицированные эксплойты для данной уязвимости.

Лаборатория Касперского - APT и CVE-2015-2545

Новички известны как Danti и SVCMONDR. Первая предположительно действует с 2015 года; ее интересы обычно не выходят за рамки госсектора Индии, однако в последнее время эта APT-группа также атакует цели в Казахстане, Киргизии, Узбекистане, Мьянме, Непале и на Филиппинах. В феврале и марте были зафиксированы адресные фишинговые рассылки Danti с использованием файла в формате .docx, который эксплуатирует CVE-2015-2545 и загружает кастомный шелл-код на скомпрометированную машину.

«Для эксплойта в данном случае используется искаженный внедряемый объект EPS (Encapsulated Postscript), — пишут «лаборанты» в отчете. — Он содержит шелл-код, который открывает бэкдор, обеспечивающий полный доступ атакующим».

Мишенью февральских атак Danti являлось министерство иностранных дел Индии. Эта кампания, начавшаяся 2 февраля и закончившаяся 29-го, охватила также индийские посольства в Венгрии, Дании и Колумбии. Фишинговые сообщения были снабжены релевантной темой и поддельным обратным адресом высокопоставленного чиновника — например, главы IT-службы министерства связи и информационных технологий. В марте Danti распространяла поддельные письма на адреса секретариата кабинета министров Индии, снабжая их тем же EPS-эксплойтом, но в модифицированной версии.

APT-группа SVCMONDR также применяет целевой фишинг, но атакует цели на Тайване. Судя по используемым ею эксплойтам, она как-то связана с Danti и APT 16. Последняя считается обособленной группировкой, однако ее письма исходят из того же домена, который использует SVCMONDR, хотя шелл-код и бэкдор у APT 16 свои. EPS-эксплойты SVCMONDR при отработке загружают одноименную программу, которая прописывается в системном реестре для обеспечения персистентности и открывает бэкдор для получения команд и отправки краденых данных.

По наблюдениям «Лаборатории», первой APT-группой, взявшей на вооружение эксплойт к CVE-2015-2545, была Platinum. Ее EPS-эксплойты появились на территории Индии еще в прошлом августе. APT 16 начала использовать CVE-2015-2545 тоже в прошлом году, но против новостных агентств Тайваня. Еще одна APT-группа, EvilPost, таким же образом атакует подрядчиков японского министерства обороны.

Примечательно, что в ходе одной из атак EvilPost вредоносный EPS-объект не грузил бэкдор напрямую, а вначале закачивал DLL для эксплуатации CVE-2015-1701, позволяющей повысить привилегии. По данным «Лаборатории Касперского», в настоящее время японский C&C-сервер EvilPost недоступен; возможно, он был скомпрометирован, или злоумышленники просто забросили этот проект после того, как их C&C обнаружили исследователи.

Последняя APT-группа, поименованная в новом отчете «Лаборатории», — это Spivy. Она действует на территории Гонконга и для кражи информации использует вариант Poison Ivy.

Категории: Аналитика, Главное, Уязвимости, Хакеры