Fancy Bear используют тему BREXIT для вредоносных рассылок

Fancy Bear используют тему BREXIT для вредоносных рассылок

Киберпреступники быстро подхватили ажиотаж вокруг темы выхода Великобритании из Европейского союза (BREXIT). В тот же день, когда премьер-министр Тереза Мэй продемонстрировала драфт соглашения, была зафиксирована массовая рассылка вредоносных писем, темой которых был BREXIT.

Об этом сообщили аналитики Accenture, которые полагают, что за этой вредоносной кампанией стоят «российские хакеры», известные под именем Fancy Bear.

«Как только Тереза Мэй объявила о BREXIT, были зафиксированы вредоносные рассылки, инициированные SNAKEMACKEREL [так в компании называют Fancy Bear — прим. ред.]. В рассылаемых письмах содержался вредонос Zekapab, также известный как Zebrocy», — говорится в опубликованном Accenture отчете.

Zebrocy представляет собой бэкдор. Как отметили в Accenture, рассылка вредоносных документов была зафиксирована 15 ноября. Загрузка вредоносного контента осуществлялась из внешнего источника, при этом использовался компонент settings.xml.rels, встроенный в файлы DOCX.

Загружаемый из внешнего источника компонент содержал функцию под названием AutoClose() и два пейлоада, встроенных с помощью Base64. Проанализировав IP-адрес (109.248.148.42), который участвовал в атаках, эксперты обнаружили два разных компонента .dotm: attachedTemplate.dotm и templates.dotm. Оба компонента содержали макрокод VBA.

«Анализ двух бинарников показал, что они написаны на Delphi», — пишут в отчете эксперты.

Вредоносная программа собирает информацию о системе, фиксирует список запущенных процессов и отправляет это все на командный сервер C&C. В ответ сервер отправляет вредоносную составляющую второго уровня.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft нашла две бреши в инструменте Huawei для лэптопов MateBook

Исследователи Microsoft обнаружили в инструменте Huawei серьезные проблемы безопасности, одна из которых может привести к повышению привилегий в системе, а вторая — к выполнению произвольного кода. Китайская корпорация уже выпустила обновление, которое должно устранить уязвимости.

Баги удалось идентифицировать после того как Microsoft Defender Advanced Threat Protection (ATP) обнаружил аномальное поведение, связанное с инструментом PCManager, разработчиком которого является китайская компания Huawei.

Именно PCManager используется в ноутбуках MateBook. Одна из брешей, получившая идентификатор CVE-2019-5241, может быть использована для повышения привилегий. Для этого злоумышленник должен заставить жертву запустить вредоносное приложение.

Также была обнаружена другая брешь — CVE-2019-5242 — ее атакующий может использовать для выполнения кода.

«Уязвимость позволяет запустить код с низкими привилегиями, который сможет считывать и записывать в другие процессы, а также в пространство ядра. Это может привести к полной компрометации атакуемого компьютера», — так Microsoft описывает CVE-2019-5242.

Huawei выпустила патч, устраняющий эти две бреши. После этого исследователи Microsoft опубликовали технические детали уязвимостей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru