Исследователи SophosLabs предупреждают, что большинство атак нацеленных на Microsoft Office используют уязвимости, обнаруженные в прошлом году.
За последние несколько недель уязвимости CVE-2015-1641 и CVE-2015-2545 стали самыми активно эксплуатирующимися, вытеснив CVE-2012-0158 – уязвимость 4-летней давности.
Согласно новому SophosLabs, эксплуатация уязвимости CVE-2015-1641 в настоящее время составляет почти 66% ото всех атак, в то время, как CVE-2015-2545 около 17%. На третьем же месте находится уязвимость CVE-2012-0158, занимая менее чем 12% от количества всех атак.
Не удивительно, что злоумышленники используют новые уязвимости, ведь пользователи постепенно обновляют программное обеспечение, и атаки уже перестают пользоваться успехом. Однако удивительно то, что уязвимость CVE-2012-0158 эксплуатировалась так долго, а потом внезапно была вытеснена CVE-2015-1641 и CVE-2015-2545.
Исследователи SophosLabs утверждают, что злоумышленники пользуются доступными наборами эксплоитов. Таким образом, пока в этих наборах не будет содержаться код для эксплуатации новых уязвимостей, будут эксплуатироваться старые.
Это объясняет резкий переход на эксплуатацию новых уязвимостей, так как популярный набор эксплоитов АК-1 обновился до версии АК-2, которая содержит код для эксплуатации CVE-2015-1641. Также эта уязвимость эксплуатируется с помощью набора Microsoft Word Intruder (MWI). Кроме того, злоумышленники, использовавшие набор эксплоитов DL-2 перешли на более новое решение, которое эксплуатирует уязвимость CVE-2015-2545.
В то время как включение уязвимости CVE-2015-1641 в набор АК-2 не новость, то в наборе Microsoft Word Intruder (MWI) она появилась совсем недавно. SophosLabs предупреждают, что киберпреступники используют вредоносные документы, в качестве полезной нагрузки к которым идут такие вредоносы как: трояны Zeus и Fareit, бэкдоры NetWiredRC и Nanocore, кейлоггер PredatorPain и средство удаленного администрирования LuminosityLink.
Уязвимость CVE-2015-2545 появилась в качестве уязвимости нулевого дня и использовалась задолго до выпуска исправления в сентябре 2015. Тем не менее, некоторые киберперступные группы начали успешно эксплуатировать эту уязвимость уже после выхода официального патча.
Согласно Sophos, с точки зрения злоумышленника, эксплуатация CVE-2015-2545 и CVE-2015-1641 является хорошей альтернативой CVE-2012-0158, тем более, что они уже включены в самые популярные наборы эксплоитов.
«Хорошая новость заключается в том, что обе уязвимости уже давно были исправлены и патчи на данный момент доступны. Пользователям настоятельно рекомендуем обновить Office.» - говорят в SophosLabs.
В телеграм-каналах начала расходиться информация о том, что Роскомнадзор якобы решил постепенно блокировать мессенджер MAX из-за активности мошенников. В постах даже приводили якобы цитату ведомства о том, что «безопасность россиян превыше всего», а сам мессенджер называли «рассадником мошенничества и порнографии».
Как выяснилось, скриншот, который активно распространяли в соцсетях и Telegram, был связан с публикацией «Баймакского вестника».
В ней со ссылкой на заявление замначальника полиции Екатеринбурга Андрея Ершова действительно говорилось, что мошенники начали осваивать и MAX. Но ни о какой блокировке или замедлении работы мессенджера речи там не было.
На официальных ресурсах Роскомнадзора подобных заявлений также нет. Не публиковали такую информацию и СМИ.
Наоборот, 18 марта MAX получил статус социальной сети. Это означает, что теперь каналы с аудиторией более 10 тысяч подписчиков должны проходить регистрацию через специальный бот.
Таким образом, сообщения о том, что Роскомнадзор начал готовить блокировку MAX, оказались фейком. Судя по всему, реальную новость о появлении мошенников в новом канале связи просто дополнили вымышленными деталями и в таком виде она быстро разошлась по Telegram.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
