Пентагон предупредил об иранцах, лезущих через Microsoft Outlook

Опубликовано at 14:38
37 0

Кибернетическое командование США опубликовало в официальном аккаунте в Twitter предупреждение о кибератаках APT33 (Elfin), в ходе которых злоумышленники используют уязвимость CVE-2017-11774 в Outlook.

Есть предположение (вполне обоснованное, учитывая почерк и геополитическую ситуацию), что за атаками стоят иранские правительственные киберпреступники.

Уязвимость CVE-2017-11774, которую используют злоумышленники, позволяет обойти защитные механизмы и выполнить произвольные команды. Оказалось, что Outlook некорректно обрабатывает объекты в памяти.

«Атакующий может использовать специально созданный файл документа для эксплуатации уязвимости. Этот сценарий предполагает, что злоумышленник должен заставить пользователя открыть файл и взаимодействовать с документом», – Microsoft.

Уязвимость известна довольно давно – эксперты компании SensePost сообщили о ней еще в 2017 году, и в октябре того же года вышел патч, закрывающй заплатку. Тем не менее, не обновленные компьютеры до сих пор уязвимы к атаке.

Иранские хакеры из группы APT33 (также известна под именем Elfin) известны своим использованием в атаках этой бреши в Outlook. Кибернетическое командование США предупреждает, что атаки с использованием CVE-2017-11774 продемонстрировали резкий скачок с момента начала обострения ситуации с Ираном.

APT33 активна с конца 2013 года, именно эта группировка стоит за вредоносной программой Shamoon, которая, например, разнесла 400 серверов нефтегазовой компании Saipem в Аравии (Эксперты АКБ подробно писали об этой истории).

Последняя волна атак Elfin (APT33) была зафиксирована в феврале 2019 года, в целом же атаки продолжаются более трех лет. Как сообщают специалисты компании Symantec, жертвами группировки стали представители разных сфер. Помимо правительственного сектора, Elfin также интересуют производственные, инженерные и химические предприятия, исследовательские организации, консалтинговые фирмы, финансовые и телекоммуникационные компании и пр.

За последние три года жертвами Elfin стали 18 организаций в США, в том числе компании из списка Fortune 500. Некоторые из них были атакованы с целью осуществления дальнейших атак на цепочку поставок. В одном случае крупная американская компания и принадлежащая ей фирма на Среднем Востоке стали жертвой Elfin в один и тот же месяц.

Читайте также на АКБ предыдущие серии бесконечной (и бесконечно увлекательной) саги про иранских хакеров и вундеркиндов:

14-летний иранский гений написал вирус-уничтожитель умных устройств – вредонос уже на свободе

Иранские хакеры (зачем-то) атакуют приложения для секвенирования ДНК

Антивирусная пята: иранцы Achilles продают доступ к сетям Symantec и Comodo

Игра киберпрестолов XXI: Иранские хакеры планировали ад в небесах для Израиля

Игра киберпрестолов XVIII: и снова Иран против Англии

Игра киберпрестолов XI: разведчица ВВС США сбежала в Иран и следила за экс-коллегами через Facebook

Подписываемся, следим @CyberAgency

Related Post

Лаборатория Касперского начнет инициативу прозрачности в 2018 году

Опубликовано - 23.10.2017 0
Фирма кибербезопасности «Лаборатория Касперского» начала международную инициативу прозрачности, чтобы вернуть доверие после обвинения в содействии российской разведке и доказать, что…