Обнаружена кроссплатформенная атака через зараженные RTF-документы
Главная » Новости

Обнаружена кроссплатформенная атака через зараженные RTF-документы

Андрей Каплун 23 Апреля 2018 - 18:00
...
Обнаружена кроссплатформенная атака через зараженные RTF-документы

Эксперты из Trend Micro обнаружили спам-кампании вредоносных программ. Злоумышленники распространяли бэкдоры XTRAT и DUNIHI, а также вредоносную программу для сбора информации Loki, объединенную с Adwind RAT. Рост спам-рассылок эксперты наблюдали с 1 января по 17-е апреля 2017 года.

Эксперты Trend Micro определили две рассылки с разным набором вредоносных программ. В первой злоумышленники рассылали бэкдоры Adwind RAT, XTRAT вместе со шпионской программой Loki. Во втором сценарии спам-рассылки эксперты заметили использование VBScript с бэкдором DUNIHI. Обе спам-кампании использовали динамический DNS сервер “hopto[.]org”. В качестве контейнера для инфекции злоумышленники выбрали документ RTF, который использовал уязвимость CVE-2017-11882 для доставки Adwind, XTRAT и Loki.

После того как пользователь открыл зараженный файл, происходит загрузка Loki с сайта "hxxp://steamer10theatre[.]org/wp-admin/js/ehe[.]exe". Затем Loki, как дроппер, загружает Adwind и XTRAT.

Загруженные файлы нарушают работу RAT (систему удаленного администрирования) с помощью таких возможностей бэкдора, как anti-AV и anti-VM, и получают контроль над зараженным устройством. Примечательно, что Adwind и XTRAT используют один C&C сервер: "junpio70[.]hopto[.]org".

Первый вариант рассылки соединяется с сервером "badnulls[.]hopto[.]org:3011", а рассылка с DUNIHI использует "pm2bitcoin[.]com:62103.

“Рассылка разных вариаций вредоносных программ похожа на уловку, которая должна повысить шансы заражения устройства. Если одна вредоносная программа обнаружена, другая может остаться незамеченной, и закончить начатое”. - сообщает Trend Micro в своем отчете.

Кроссплатформенный бэкдор Adwind написан в Java, и используется злоумышленниками с 2013 года. Он представлен в виде платного сервиса, где клиенты платят за заражение устройств. Это многофункциональная программа для кражи пользовательских данных, шпионажа и захвата контроля над устройствами. 

С 1 января по 17 апреля Trend Micro зафиксировали 5535 новых заражений Adwind, большая часть из которых случилась в США, Японии, Австралии, Италии, Тайвани, Германии и Великобритании.

Ранее мы написали о том, как уязвимость в Microsoft Outlook позволяет с помощью RTF документа получать пользовательские данные. 

 

Следующая главная новость »
AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Критическая уязвимость в TLP позволяет обойти защиту Linux
Екатерина Быстрова 08 Января 2026 - 18:51
Linux Уязвимости программ Домашние пользователиКорпорации
Критическая уязвимость в TLP позволяет обойти защиту Linux

В популярной утилите TLP, которую многие владельцы ноутбуков на Linux используют для управления энергопотреблением, обнаружили критическую уязвимость. Причём проблема нашлась во время обычной проверки пакета командой SUSE Security Team и располагается во вполне штатном коде.

Брешь получила идентификатор CVE-2025-67859 и затрагивает версию TLP 1.9.0, где появился новый profiles daemon.

Этот демон работает с root-правами и управляет профилями питания через D-Bus. Задумка хорошая, но реализация подвела: в механизме аутентификации Polkit нашлась логическая ошибка, которая фактически позволяет обойти проверку прав.

Как объясняют исследователи, демон должен был строго проверять, кто именно отправляет команды. Но из-за ошибки любой локальный пользователь мог взаимодействовать с ним без должной аутентификации — а значит, менять системные настройки питания от имени root.

На этом сюрпризы не закончились. В ходе анализа специалисты SUSE нашли ещё несколько проблем, уже связанных с исчерпанием ресурсов. В частности, механизм profile hold, который позволяет временно «зафиксировать» профиль питания, оказался совершенно без валидации. Локальный пользователь мог создавать неограниченное количество таких блокировок, причём без прав администратора.

В итоге это открывает прямую дорогу к DoS-атаке: демон начинает захлёбываться от бесконечных записей в структуре данных, куда попадают числа, строки с причиной и идентификаторы приложений — всё это полностью контролируется клиентом.

Любопытно, что SUSE вспомнила похожую историю с демоном управления питанием в GNOME: аналогичную проблему находили ещё несколько лет назад. Отдельно исследователи отметили вопросы к механизму «куки», которыми отслеживаются profile hold. Формально речь шла о предсказуемости значений, но в сочетании с отсутствием лимитов это лишь расширяло поверхность атаки.

К счастью, реакция была быстрой. SUSE сообщила об уязвимостях разработчикам ещё в декабре, и в версии TLP 1.9.1 проблема уже закрыта. В частности, число одновременных profile hold теперь жёстко ограничено числом 16, что убирает риск истощения ресурсов.

AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »
Indeed CM 7.2 получил поддержку российских УЦ и новых каталогов
Новость
Indeed CM 7.2 получил поддержку российских УЦ и новых катало...
В Яндекс Таблицах появился ИИ и совместное редактирование до 400 человек
Новость
В Яндекс Таблицах появился ИИ и совместное редактирование до...
Microsoft опровергла слухи о переписывании Windows 11 на Rust с ИИ
Новость
Microsoft опровергла слухи о переписывании Windows 11 на Rus...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.