RTF-документы помогают обойти блокировку макросов Microsoft

Исследователи Morphisec Labs сообщили , что APT -группировка DoNot Team (APT-C-35) добавила новые модули в свое шпионское ПО YTY (Jaca) для Windows. Группа активна с 2016 года и известна целевыми атаками на отдельных лиц и организации в Южной Азии .

Новые модули представляют собой компонент для кражи данных браузера и новый компонент загрузчика шелл-кода, который анализирует новый вариант DLL обратного шелла. Компонент для кражи браузера может украсть учетные данные для входа и историю из Google Chrome и Mozilla Firefox.

Исследователи также обнаружили новую цепочку заражений, которая внедряет новые модули в инфраструктуру Windows. Группа использовала RTF-документы в атаках на правительственные ведомства в ходе фишинговой кампании по электронной почте.

RTF-документы при открытии извлекают вредоносный шаблон с удаленного C2-сервера, отправляя HTTP-запрос GET. Когда шаблон внедряется в систему, он побуждает жертву активировать вредоносные макросы , которые впоследствии используются для внедрения обратной оболочки .

Поскольку группа нацелена на критические уязвимости в системе безопасности, которые могут быть устранены лишь несколькими организациями, рекомендуется внедрить такие технологии, как сетевые брандмауэры, EDR и XDR, для обнаружения аномалий на начальном этапе и устранения ошибок во время выполнения.