Хакеры используют старые бреши в Microsoft Office для установки бэкдора

Хакеры используют старые бреши в Microsoft Office для установки бэкдора

Хакеры используют старые бреши в Microsoft Office для установки бэкдора

В новой вредоносной кампании злоумышленники используют старые уязвимости в программном обеспечении Microsoft Office для внедрения в системы Windows бэкдора. Этот бэкдор, получивший имя Felixroot, шпионит за пользователями и крадет их файлы.

Связанную с Felixroot киберактивность обнаружили исследователи FireEye, атакующие нацелились на жителей Украины. Вся схема атаки начинается с фишингового письма, в котором якобы содержится информация о семинаре по охране окружающей среды.

В этой кампании используются две уязвимости в Microsoft Office: CVE-2017-0199 и CVE-2017-11882. Первая позволяет злоумышленникам загружать и выполнять скрипт Visual Basic, содержащий команды PowerShell. Вторая брешь позволяет выполнить произвольный код и получить контроль над атакуемой системой.

Оба эксплойта стали доступны в прошлом году, они уже не раз использовались киберпреступниками в различных злонамеренных кампаниях. В этом случае атакуюшие используют эти две уязвимости в связке, что позволяет запустить бэкдор Felixroot.

У Felixroot есть все для того, чтобы следить за пользователем и красть его конфиденциальные файлы.

«Felixroot пытается похитить загруженные файлы, также бэкдор передает злоумышленникам информацию о системе. Вредонос свободно может загружать файлы с командного центра C&C, а затем выполнять их», — объясняет эксперт из FireEye Свопнил Патил.

Первым уязвимость CVE-2017-0199 эксплуатирует файл Seminar.rtf, а пейлоад второго этапа уже использует CVE-2017-11882, чтобы получить контроль над системой.

Зловред загружается прямиком в память, избегая попадания на диск, что увеличивает его шансы остаться незамеченным. Felixroot извлекает следующую информацию: имя пользователя, серийный номер тома, версию Windows и архитектуру процессора.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Positive Technologies представила коммерческую версию PT Data Security

Positive Technologies выпустила коммерческую версию PT Data Security — платформы для защиты данных, которая автоматизирует инвентаризацию, классификацию и мониторинг информации в разных хранилищах. Разработку продукта компания начала в 2024 году.

Сейчас PT Data Security проходит предварительные тесты в ряде крупных компаний.

Что делает платформа. По сути, она ищет в инфраструктуре все места, где хранятся важные данные, автоматически определяет их уровень значимости и фиксирует подозрительную активность — утечки, необычные запросы, удаление или изменение информации.

Система умеет работать с любыми типами данных — структурированными, полу- и неструктурированными — и с разными хранилищами: базы данных, файловые и объектные репозитории и прочие источники.

Раньше для похожих задач организациям приходилось собирать набор разрозненных продуктов, которые плохо интегрировались и не давали полного обзора. PT Data Security заточена как единая платформа, чтобы сократить число инструментов и получить сквозную видимость по всем данным.

Эксперты Positive Technologies отмечают, что компании действительно используют много разных решений — в среднем 6–10 — и это создаёт сложности: разные подразделения по-разному защищают базы и хранилища, у ИБ-службы нет единой картины. Платформы класса DSP как раз призваны менять эту логику — объединять инвентаризацию, классификацию и контроль доступа в одном месте.

Коммерческая версия получила несколько заметных улучшений, многие из них — по просьбам участников программы раннего тестирования. Появились композитные правила: платформа может классифицировать объект на основе уже найденных категорий. То есть можно настроить сценарий, который автоматически помечает документ как содержащий, например, персональные и финансовые данные одновременно — это повышает точность поиска критичных объектов.

Ещё одна важная опция — лимит на объём данных, который пользователь может выгружать из защищённых баз. Это уменьшает риск массовой утечки, даже если учётная запись будет скомпрометирована: злоумышленник не сможет сразу скачать большой массив чувствительной информации.

Интерфейс тоже переработали: добавили удобную таблицу для навигации по объектам, быстрый поиск по имени, типу и атрибутам, фильтрацию по хранилищам и классам. Пользователи могут сами создавать правила классификации через встроенный конструктор — это сокращает зависимость от разработчиков и упрощает настройку для специалистов по ИБ. Появилась аналитика по классам данных: сколько и каких объектов найдено и где они лежат, что даёт полный обзор объёмов и локаций данных.

Почему это важно? По данным Positive Technologies, каждая вторая успешная атака на российские организации за последний год заканчивалась утечкой данных.

Чаще всего в руки злоумышленников попадали коммерческая тайна (30%), учётные данные (24%) и персональные сведения (17%). При этом в 55% случаев конфиденциальные данные оказывались выложены в открытый доступ бесплатно — то есть ущерб от утечек очень высок.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru