Ранее в этом месяце, в составе ежемесячного «вторника обновлений», разработчики Microsoft представили исправление для уязвимости CVE-2017-11882 . Данный баг обнаружили специалисты компании Embedi, он позволяет выполнить на уязвимом устройстве произвольный код без взаимодействия с пользователем и существовал в Microsoft Office на протяжении долгих 17 лет. Проблема связана с работой Microsoft Equation Editor (EQNEDT32.EXE). Как следует из названия, данный инструмент позволяет пользователям внедрять в документы Office математические уравнения в виде объектов OLE.

Спустя чуть больше недели после выхода патча и появления в сети сразу нескольких proof of concept эксплоитов для уязвимости (1, 2, 3, 4), проблему взяли на вооружение хакеры как минимум из одной группировки — Cobalt. Эта группа известна специалистам уже несколько лет, в частности, ИБ-эксперты полагают, что Cobalt имеет российские корни и напрямую связана с другой известной группировкой, Buhtrap, из-за сходства используемых инструментов. Основными целями группировки обычно являются банки, финансовые организации, сети банкоматов и так далее.

По данным британской компании Reversing Labs, члены Cobalt применяют баг CVE-2017-11882 для создания вредоносных документов RTF, которые затем используются для таргетированных атак на приоритетные для хакеров цели. Эксплуатируя данную уязвимость, преступники доставляют на устройства жертв дополнительную малварь в виде файлов DLL, которые исследователи еще продолжают изучать.

Аналитик компании Proofpoint Мэттью Меса (Matthew Mesa) тоже обратил внимание на вредоносную активность Cobalt, но он заметил немного другой сценарий эксплуатации проблемы:

hxxps://goo[.]gl/1GEcjp
->https://t.co/JuObz0zwRd
->
CVE-2017-11882 -> mshta -> Powershell -> DLL -> Drops msxsl.exe and runs Jscript Backdoor (more_eggs) with it.

Likely Cobalt group/gang.
Similar Jscript payload described here:https://t.co/72Mv7ucvm8@subTee

— Matthew Mesa (@mesa_matt) November 22, 2017

Нужно сказать, что это не первый случай, когда Cobalt находит применение уязвимостям в продуктах Microsoft практически сразу после публикации данных о них. К примеру, практически то же самое произошло с RCE-багом в .NET Framework (CVE-2017-8759), который был исправлен в сентябре 2017 года.

Теги: CSS, -> Cobalt Microsoft компании практически