Русскоговорящие хакеры прячут вредонос Zebrocy в VHD-файлах

Русскоговорящие хакеры прячут вредонос Zebrocy в VHD-файлах

Русскоговорящие хакеры прячут вредонос Zebrocy в VHD-файлах

Русскоговорящие киберпреступники, стоящие за распространением вредоносной программы Zebrocy, задействовали новый способ доставки зловреда высокопоставленным чиновникам. Чтобы избежать обнаружения, злоумышленники стали прятать вредонос в файлы формата VHD (Virtual Hard Disk).

Именно этот способ группировка APT28 (Fancy Bear, Sofacy, Strontium, Sednit) задействовала в последних атаках целевого фишинга, пытаясь установить в системы жертв вредоносную программу Zebrocy.

Этот зловред, кстати, предстаёт в разных формах и написан на нескольких языках программирования: AutoIT, C++, C#, Delphi, Go, VB.NET. В последних атаках фигурировала Go-версия вредоноса, хотя раньше операторы предпочитали Delphi.

Известно, что Windows 10 поддерживает VHD-файлы «из коробки» — операционная система без проблем монтирует их в качестве внешних дисков, позволяя пользователю просмотреть содержимое таких файлов.

В сентябре 2019 года исследователи в области кибербезопасности выяснили, что антивирусные движки не проверяют содержимое VHD до монтирования. Эта особенность открыла новый вектор атаки для профессиональных киберпреступников.

Специалисты компании Intezer в конце ноября наткнулись на VHD, загруженный в сервис VirusTotal. Как показали логи, этот файл залили из Азербайджана. Внутри эксперты нашли PDF и исполняемый файл, замаскированный под документ Microsoft Word. Именно последний оказался вредоносной программой Zebrocy.

 

Что касается PDF-файла, то там была обычная презентация Sinopharm International Corporation, китайской фармацевтической компании, которая в настоящее время занимается разработкой вакцины против COVID-19.

А вот Zebrocy продемонстрировал очень низкий процент детектирования на площадке VirusTotal — только девять антивирусных движков из 70 распознали угрозу. Специалисты считают, что с помощью нового варианта вредоносной программы злоумышленники атакуют высокопоставленных чиновников Азербайджана. Например, Delphi-вариант зловреда использовался именно для этого.

В 7-Zip нашли уязвимость: вредоносный XZ-архив может запустить код

В 7-Zip обнаружили опасную уязвимость CVE-2026-14266, которая позволяет атакующему выполнить произвольный код через специально подготовленный XZ-архив. Из-за переполнения буфера приложение может записать данные за пределами выделенной памяти.

Проблема связана с обработкой фрагментированных XZ-данных. Если эксплуатация сработает, злоумышленник получит возможность запускать код с правами текущего процесса 7-Zip.

Для атаки всё же нужно участие пользователя: жертву необходимо убедить открыть вредоносный архив или скачать его с подконтрольного сайта. Поэтому массового автоматического взлома по воздуху здесь нет, зато для фишинга схема подходит прекрасно.

Опасный файл можно замаскировать под обновление, резервную копию, пакет документов или обычный архив из мессенджера. Уязвимость получила 7 баллов из 10 по шкале CVSS.

Аутентификация и предварительный доступ к устройству атакующему не нужны. После успешной эксплуатации он сможет запустить вредонос, украсть доступные пользователю данные, изменить файлы или просто уронить систему.

О случаях применения CVE-2026-14266 в реальных атаках пока не сообщается. Но технические подробности уже опубликованы, а значит, желающие собрать рабочий эксплойт получили неплохую инструкцию к действию.

Разработчики исправили проблему в 7-Zip 26.0. Пользователям советуют обновиться как можно скорее и не открывать неожиданные XZ-архивы из писем, чатов и файловых обменников.

Архив с названием «документы_важное.xz» теперь лучше сначала проверить. Потому что внутри может лежать не документ, а очень инициативный чужой код.

RSS: Новости на портале Anti-Malware.ru