Модифицированная цепочка эксплойтов для Word помогла обойти антивирусы

Модифицированная цепочка эксплойтов для Word помогла обойти антивирусы

Модифицированная цепочка эксплойтов для Word помогла обойти антивирусы

В ходе новой вредоносной кампании злоумышленники модифицировали известную цепочку эксплойтов для загрузки кейлоггера Agent Tesla, при этом цель киберпреступников заключалась в избежании обнаружения популярными антивирусными решениями. На данный момент известно, что атакующие использовали две уязвимости в Microsoft Word, известные под идентификаторами CVE-2017-0199 и CVE-2017-11882.

Эксплойты для этих брешей есть в открытом доступе, так что для злоумышленников не составило труда обзавестись необходимыми инструментами. По словам аналитиков Cisco Talos, преступники устанавливали по меньшей мере три вредоноса в ходе кампании: Agent Tesla, Loki и Gamarue.

Все эти три злонамеренные программы предназначены для кражи данных. Также Agent Tesla и Gamarue имеют функцию удаленного доступа.

Атаки начинались с электронных писем, содержащих документ Word (DOCX), который загружал файл RTF, завершающий доставку вредоносной программы. Атакующим было важно, чтобы RTF-файл остался незамеченным защитными решениями.

«Только два антивируса из 58 нашли что-то подозрительное, однако они сообщали лишь о некорректно созданном RTF. AhnLab-V3 детектировал файл как RTF/Malform-A.Gen, а Zoner — RTFBadVersion», — пишут специалисты в отчете.

Исследователи отмечают, что именно модификации в цепочке эксплойтов помогли избежать обнаружения вредоноса стандартными антивирусными решениями. Благодаря им злоумышленники смогли оснастить документы подпрограммами для загрузки вредоносной составляющей.

Загрузочный механизм полагался на поддержку встроенных объектов с помощью OLE. В ходе атаки совершенно необязательно было, чтобы пользователь менял настройки Microsoft Word или кликал на что-либо для запуска эксплойта.

Обойти обнаружение антивирусами помогла также обфускация внутри RTF-файла. Углубленный анализ показал, что киберпреступники также изменили значения заголовка OLE-объекта.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Ubuntu откажется от классического sudo в пользу новой версии на Rust

Canonical объявила, что в следующем релизе Ubuntu 25.10 Questing Quokka по умолчанию появится новый инструмент для повышения привилегий — sudo-rs, переписанный на языке Rust. Таким образом, привычное sudo, написанное на C, постепенно уйдёт в прошлое. Полный переход планируют завершить в версии Ubuntu 26.04 LTS.

Выход Ubuntu 25.10 запланирован на 9 октября 2025 года. Кодовое имя — Questing Quokka: «Questing» символизирует поиск и исследование, а «Quokka» — австралийское сумчатое животное, находящееся под угрозой исчезновения.

Почему Rust? Разработчики делают ставку на безопасность и производительность.

Новый sudo-rs избавлен от уязвимостей, связанных с управлением памятью в C, и уже поддерживает важные функции: опцию NOEXEC (запрещает запускать дочерние процессы от привилегированных программ) и интеграцию с профилями AppArmor для более строгого контроля процессов.

При этом sudo-rs сохраняет совместимость и со старыми версиями ядра Linux (включая 5.9 и ниже), так что использовать его можно в самых разных окружениях. В ближайших планах команды — довести функциональность до полного соответствия классическому sudo.

Ubuntu 26.04 LTS также будет работать только с sudo-rs, хотя пользователи тестовых сборок пока могут откатиться к старому sudo при необходимости.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru