Получив уведомление об уязвимости в Windows-движке VBScript, уже замеченной в атаках, Microsoft поспешила выпустить патч. Спустя две недели ИБ-исследователь Kaffeine обнаружил, что эта брешь взята на вооружение операторами RIG; еще через неделю ее начал использовать другой эксплойт-пак — Magnitude.

Согласно бюллетеню Microsoft, уязвимость CVE-2018-8174 в VBScript позволяет через порчу памяти выполнить произвольный код в контексте текущего пользователя. Использовать ее можно, заманив пользователя Internet Explorer на сайт с эксплойтом или убедив его открыть присланный в письме вредоносный документ Microsoft Office.

О первых (целевых) атаках через эту брешь, непосредственно затрагивающую IE, стало известно 20 апреля, заплатку для нее Microsoft включила в майский набор обновлений.

Позднее технику эксплойта подробно рассмотрели эксперты «Лаборатории Касперского», а также другие специалисты. На GitHub появился PoC-код, затем был создан соответствующий модуль Metasploit.

К сожалению, подобные публикации облегчают жизнь не только исследователям, но и злоумышленникам, поэтому расширение арсенала эксплойт-паков за счет CVE-2018-8174 было вполне ожидаемым. Стоит отметить, что атаки с участием таких инструментов носят массовый характер, и отсутствие патчей на местах способствует их успеху.

По свидетельству Kaffeine, эксплойт для IE не обновлялся в RIG больше года. В настоящее время новое приобретение используется для доставки вредоносного загрузчика Smoke Loader.

Активность Magnitude, связанная с CVE-2018-8174, была впервые зафиксирована 2 июня. По данным Kaffeine, новый эксплойт в составе этого набора используется для распространения вымогателя Magniber.

В конце мая вышло также соответствующее обновление для ThreadKit — недавно появившегося на черном рынке компоновщика вредоносных документов Microsoft Office. Практика показала, что его автор исправно отслеживает и осваивает новые эксплойты. Этим инструментом активно пользуется криминальная группа Cobalt, атакующая финансистов, так что в скором времени можно ожидать целевые атаки в этой сфере на основе эксплойта CVE-2018-8174.

Категории: Вредоносные программы, Уязвимости