Уязвимость нулевого дня в ПО для редакционно-издательских работ InPage, популярном у пользователей, говорящих на урду, пушту и арабском языке, уже применяется в атаках против финансовых организаций и правительственных ведомств соответствующих стран. В Пакистане и Индии, например, InPage совокупно используют более 10 млн граждан, однако этим софтом также активно пользуются в США, а также в Великобритании и других странах Западной Европы.

В минувшую среду эксперты «Лаборатории Касперского» предали эту уязвимость гласности после нескольких безуспешных попыток получить отклик от разработчика. «Мы проинформировали вендора затронутого ПО о наличии уязвимости, однако ответа не получили, в то время как атаки все продолжаются, — заявили представители ИБ-компании. — Мы также поставили в известность индийскую CERT и получили ответ, что специалисты организации уже занимаются этой проблемой».

«Лаборанты» зафиксировали несколько разных атак против банков и правительственных учреждений Азии и Африки и полагают, что эксплойт мог попасть в руки ряда хакеров, в том числе спонсируемых государством. Вредоносный код распространяется через целевые email-рассылки и был обнаружен в ходе совершенно другого расследования в сентябре.

На тот момент внимание исследователей привлек подозрительный файл с расширением .inp. На поверку оказалось, что это файл Microsoft OLE с внедренным шелл-кодом; этот формат использовался для раздачи эксплойтов к Office еще в 2009 году. В ходе текущей кампании эксперты идентифицировали несколько разных полезных нагрузок, а также командные серверы атакующих. В блог-записи «Лаборатории» приведены список C&C и индикаторы компрометации.

Анализ некоторых спам-писем показал, что помимо InPage-эксплойта злоумышленники используют и другие вредоносные файлы — в формате RTF и DOC. В результате эксплуатации на машину жертвы загружаются различные кейлоггеры и бэкдоры.

Уязвимость в InPage, найденная ИБ-экспертами, кроется в парсере его основного модуля. «Уязвимость в основном модуле inpage.exe этого ПО проявляется при парсинге определенных полей, — пишут «лаборанты». — Тщательно настроив поле в своем документе, атакующий сможет контролировать поток команд и добиться исполнения кода».

Обнаруженный во вредоносном документе шелл-код вначале ищет определенные паттерны в пространстве виртуальной памяти, а затем запускает декодер, чтобы получить указатель команд и расшифровать следующую составляющую атаки. На этом этапе в ход идет даунлоудер, который скачивает с удаленного сервера полезную нагрузку и запускает ее на исполнение.

По свидетельству экспертов, аналогичная техника эксплойта применялась в атаках на уязвимость в Hangul Word Processor, другой текстовый редактор, используемый преимущественно в Южной Корее. Одну из таких атак обнаружили в прошлом году исследователи из FireEye; на основании полезной нагрузки и C&C-инфраструктуры они сделали вывод, что авторы атаки — хакеры из Северной Кореи.

«Несмотря на все усилия, нам так и не удалось связаться с разработчиками InPage, — сетуют эксперты «Лаборатории». — В отличие от них, создатели Hangul систематически выпускают патчи к уязвимостям и публикуют новые варианты, устраняющие такие проблемы».

Категории: Аналитика, Вредоносные программы, Уязвимости