Администрация Microsoft проинформировала клиентов о необходимости загрузить исправленное ПО в целях безопасности. Уязвимость в Microsoft Word, известная как cve-2017-11882, недавно стала использоваться для заражения устройств вредоносной программой Cobalt Strike. После заражения программа берет компьютер под контроль и позволяет злоумышленнику украсть данные или запустить вредоносный код.
Программа Cobalt известна в индустрии кибербезопасности, так как ее код широко используется в качестве инструмента тестирования уязвимости. Red Team Operations и Adversary Simulations использовали вредоносную программу и создали Cobalt Strike.
Дырка в ПО существовала, как выяснилось, 17 лет, но была обнаружена только в начале этого месяца. Microsoft выпустила обновление для ее устранения. Но прежде чем Microsoft новое ПО было установлено, недоработкой компании успели воспользоваться несколько хакерских групп.
Одна из них, как выяснилось, была нацелена на русскоязычных пользователей. Им было отправлено электронное письмо, которое якобы исходило от VISA и предлагало пользователю обновить его payWave изменения. Письмо содержало RTF-документ, защищенный паролем для того, чтобы письмо более походило на настоящее. После открытия письма паролем открывался полупустой документ со словами «включить редактирование». Этот документ позволил хакерам запустить код PowerShell, чтобы заразить компьютер пользователя вредоносной программой Cobalt Strike.
