Целевые атаки на госсектор Азербайджана используют тему COVID-19

Целевые атаки на госсектор Азербайджана используют тему COVID-19

Новая киберпреступная кампания использует тему нового коронавируса 2019-nCoV в целевых атаках на государственный и энергетический секторы Азербайджана. В операциях преступников участвует RAT-троян, извлекающий конфиденциальные документы, перехватывающий нажатия клавиш, пароли и даже снимки веб-камеры.

В ходе атак злоумышленники используют документы Microsoft Word в качестве дропперов. С их помощью в систему устанавливается написанный на Python троян «PoetRAT».

«RAT-вредонос располагает всеми стандартными функциями такого класса программ. Он даёт оператору в руки полный контроль над скомпрометированной системой», — пишет команда Cisco Talos.

По словам специалистов, вредоносная программа прицельно атакует SCADA-системы в энергетической сфере. Тема новой коронавирусной инфекции COVID-19 используется в качестве приманки — чтобы жертва установила троян, поддавшись спровоцированной пандемией панике.

Операторы прикрепляют PoetRAT к документу Word, который в случае открытия задействует макросы для извлечения и запуска вредоносной программы. Исследователи пока не смогли точно установить способ доставки изначального злонамеренного документа.

На данный момент известно, что загрузить используемый в атаках документ Word можно по простому URL. Таким образом, злоумышленники как-то передают жертве такую ссылку. Не исключено, что в ход идут фишинговые письма.

Сам троян PoetRAT содержит два скрипта, один из которых (frown.py) отвечает за связь с командным сервером (C&C), а второй (smile.py) выполняет команды операторов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Критический баг в iOS позволял с легкостью взломать iPhone через Wi-Fi

Раскрыты детали легко эксплуатируемой уязвимости в iOS, грозящей захватом контроля над близко расположенным устройством по Wi-Fi. В случае успеха злоумышленник сможет беспрепятственно просматривать фотоальбом жертвы, читать личные сообщения и отслеживать действия на устройстве в реальном времени.

Проблему, которой был присвоен идентификатор CVE-2020-9844, обнаружил участник Google-проекта Project Zero Иан Бир (Ian Beer). Получив отчет, Apple скорректировала код и выпустила соответствующие обновления для iOS (13.5) и macOS Catalina (10.15.5) — они вышли в мае. Показательный эксплойт CVE-2020-9844 был опубликован во вторник, 1 декабря.

В своих бюллетенях Apple классифицирует уязвимость как двойное освобождение памяти, которое может вызвать системный сбой и повлечь нарушение целостности памяти ядра. В своей блог-записи Бир пояснил, что корнем проблемы является ошибка переполнения буфера, которая возникает во время работы Wi-Fi-драйвера, ассоциированного с протоколом Apple Wireless Direct Link (AWDL). Этот протокол Apple специально разработала для упрощения коммуникаций между своими устройствами.

Для демонстрации эксплойта исследователь использовал iPhone 11 Pro, компьютер Raspberry Pi и два разных Wi-Fi-адаптера. В итоге он смог удаленно получить доступ на чтение и запись к памяти ядра целевого устройства и внедрить в нее шелл-код с правами root, а также выйти за пределы песочницы и добраться до пользовательских данных.

 

Сведений об использовании CVE-2020-9844 в реальных атаках пока нет, однако Бир полагает, что вендоры эксплойтов уже взяли эту уязвимость на заметку.

Баги в проприетарном протоколе AWDL объявлялись и ранее. Так, в июле исследователи из Дармштадтского технического университета раскрыли информацию об уязвимостях, позволявших следить за пользователями i-гаджетов, вызывать системные сбои, а также перехватывать файлы, пересылаемые между устройствами, из положения «человек посередине» (man-in-the-middle, MitM).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru