Категория > Новости > Хак-группа Cobalt уже эксплуатирует свежую уязвимость в Equation Editor - «Новости»
Хак-группа Cobalt уже эксплуатирует свежую уязвимость в Equation Editor - «Новости»1-12-2017, 12:37. Автор: Paterson |
Ранее в этом месяце, в составе ежемесячного «вторника обновлений», разработчики Microsoft представили исправление для уязвимости CVE-2017-11882 . Данный баг обнаружили специалисты компании Embedi, он позволяет выполнить на уязвимом устройстве произвольный код без взаимодействия с пользователем и существовал в Microsoft Office на протяжении долгих 17 лет. Проблема связана с работой Microsoft Equation Editor (EQNEDT32.EXE). Как следует из названия, данный инструмент позволяет пользователям внедрять в документы Office математические уравнения в виде объектов OLE. Спустя чуть больше недели после выхода патча и появления в сети сразу нескольких proof of concept эксплоитов для уязвимости (1, 2, 3, 4), проблему взяли на вооружение хакеры как минимум из одной группировки — Cobalt. Эта группа известна специалистам уже несколько лет, в частности, ИБ-эксперты полагают, что Cobalt имеет российские корни и напрямую связана с другой известной группировкой, Buhtrap, из-за сходства используемых инструментов. Основными целями группировки обычно являются банки, финансовые организации, сети банкоматов и так далее. По данным британской компании Reversing Labs, члены Cobalt применяют баг CVE-2017-11882 для создания вредоносных документов RTF, которые затем используются для таргетированных атак на приоритетные для хакеров цели. Эксплуатируя данную уязвимость, преступники доставляют на устройства жертв дополнительную малварь в виде файлов DLL, которые исследователи еще продолжают изучать. Аналитик компании Proofpoint Мэттью Меса (Matthew Mesa) тоже обратил внимание на вредоносную активность Cobalt, но он заметил немного другой сценарий эксплуатации проблемы:
Нужно сказать, что это не первый случай, когда Cobalt находит применение уязвимостям в продуктах Microsoft практически сразу после публикации данных о них. К примеру, практически то же самое произошло с RCE-багом в .NET Framework (CVE-2017-8759), который был исправлен в сентябре 2017 года.
Перейти обратно к новости |