Кибернетическое командование США опубликовало в официальном аккаунте в Twitter предупреждение о кибератаках APT33 (Elfin), в ходе которых злоумышленники используют уязвимость CVE-2017-11774 в Outlook.
Есть предположение (вполне обоснованное, учитывая почерк и геополитическую ситуацию), что за атаками стоят иранские правительственные киберпреступники.
Уязвимость CVE-2017-11774, которую используют злоумышленники, позволяет обойти защитные механизмы и выполнить произвольные команды. Оказалось, что Outlook некорректно обрабатывает объекты в памяти.
«Атакующий может использовать специально созданный файл документа для эксплуатации уязвимости. Этот сценарий предполагает, что злоумышленник должен заставить пользователя открыть файл и взаимодействовать с документом», – Microsoft.
Уязвимость известна довольно давно – эксперты компании SensePost сообщили о ней еще в 2017 году, и в октябре того же года вышел патч, закрывающй заплатку. Тем не менее, не обновленные компьютеры до сих пор уязвимы к атаке.
Иранские хакеры из группы APT33 (также известна под именем Elfin) известны своим использованием в атаках этой бреши в Outlook. Кибернетическое командование США предупреждает, что атаки с использованием CVE-2017-11774 продемонстрировали резкий скачок с момента начала обострения ситуации с Ираном .
APT33 активна с конца 2013 года, именно эта группировка стоит за вредоносной программой Shamoon, которая, например, разнесла 400 серверов нефтегазовой компании Saipem в Аравии (Эксперты АКБ подробно писали об этой истории ).
Последняя волна атак Elfin (APT33) была зафиксирована в феврале 2019 года, в целом же атаки продолжаются более трех лет. Как сообщают специалисты компании Symantec, жертвами группировки стали представители разных сфер. Помимо правительственного сектора, Elfin также интересуют производственные, инженерные и химические предприятия, исследовательские организации, консалтинговые фирмы, финансовые и телекоммуникационные компании и пр.
За последние три года жертвами Elfin стали 18 организаций в США, в том числе компании из списка Fortune 500. Некоторые из них были атакованы с целью осуществления дальнейших атак на цепочку поставок. В одном случае крупная американская компания и принадлежащая ей фирма на Среднем Востоке стали жертвой Elfin в один и тот же месяц.
Читайте также на АКБ предыдущие серии бесконечной (и бесконечно увлекательной) саги про иранских хакеров и вундеркиндов:
14-летний иранский гений написал вирус-уничтожитель умных устройств – вредонос уже на свободе
Иранские хакеры (зачем-то) атакуют приложения для секвенирования ДНК
Антивирусная пята: иранцы Achilles продают доступ к сетям Symantec и Comodo
Игра киберпрестолов XXI: Иранские хакеры планировали ад в небесах для Израиля
Игра киберпрестолов XVIII: и снова Иран против Англии
Игра киберпрестолов XI: разведчица ВВС США сбежала в Иран и следила за экс-коллегами через Facebook
