07.06.2022 | Уязвимость Follina стала настоящим кибероружием |
Неизвестный субъект угрозы, спонсируемый государством, провел новую кибератаку на госучреждения Европы и США. Компания Proofpoint заявила, что заблокировала попытки использования уязвимости удаленного выполнения кода CVE-2022-30190 c оценкой CVSS 7,8. Целям было отправлено больше 1000 фишинговых сообщений, содержащих документ-приманку. «Эта кампания маскировалась под повышение зарплаты и использовала RTF с полезной нагрузкой эксплойта, загруженной с 45.76.53[.]253», - написала компания в Twitter . Полезная нагрузка в виде сценария PowerShell имеет кодировку Base64 и функционирует как загрузчик для получения второго сценария PowerShell с удаленного сервера с именем «seller-notification[.]live». «Этот скрипт проверяет наличие виртуализации , крадет информацию из локальных браузеров, почтовых клиентов и файловых служб, проводит разведку устройства, а затем архивирует данные для эксфильтрации по адресу 45.77.156[.]179», - добавили эксперты Proofpoint. Фишинговая кампания не связана с определенной группировкой, но она организована с поддержкой государства на основе специфики атаки и широких разведывательных возможностей полезной нагрузки PowerShell. «Обширная разведка, проведенная вторым сценарием PowerShell, демонстрирует, что злоумышленник заинтересован большим количеством ПО на компьютере цели. Атака на европейское правительство и местные органы власти США заставила нас предположить, что эта кампания поддерживается государством», - добавила Proofpoint. Уязвимость CVE-2022-30190 под названием Follina использует схему URI протокола «ms-msdt» для удаленного управления целевыми устройствами и до сих пор остается неисправленной. После обнаружения уязвимости исследователем Microsoft призвала клиентов отключить протокол , чтобы предотвратить вектор атаки. Также уязвимость уже использовалась для атак на пользователей России, Беларуси и Тибета . |
Проверить безопасность сайта