Распространители Qbot взяли на вооружение Windows-уязвимость Follina

Татьяна Никитина 08 Июня 2022 - 19:27

...

Участник партнерки по распространению Qbot, которого в Proofpoint идентифицируют как TA570, начал использовать для доставки зловреда эксплойт к уязвимости 0-day в Windows, известной как Follina. Официальный патч для нее еще не вышел, и злоумышленники спешат воспользоваться лазейкой, пока ее не закрыли.

Уязвимость удаленного выполнения кода Follina (CVE-2022-30190) связана с работой инструмента диагностики MSDT и проявляется при его вызове из приложений Microsoft Office для отображения HTML-контента по внешней ссылке. Microsoft работает над патчем и опубликовала рекомендации по снижению рисков. В качестве временной меры можно также установить микропатч, созданный специалистами ACROS Security.

Авторы новой Qbot-кампании, выявленной Proofpoint, рассылают ранее украденные у жертв письма, снабжая их вредоносным вложением HTML. При его открытии происходит загрузка ZIP-архива с файлом в формате .img или .iso, который содержит DLL, документ Word и LNK-файл.

Последний запускает DLL (с помощью rundll32.exe), чтобы обеспечить старт Qbot. Пустой .docx загружает со стороннего сервера HTML-файл с кодом PowerShell — эксплойт CVE-2022-30190, после отработки которого на машину загружается основной модуль Qbot.

Индикаторы компрометации и другие артефакты, всплывшие в ходе киберкампании, опубликованы на GitHub.

Первый отчет о находке, получившей известность как Follina, был подан в Microsoft еще в апреле, однако разработчик тогда не придал ей значения. В конце мая были зафиксированы атаки с использованием новой уязвимости — в частности, ее взяла на вооружение группа китайских хакеров, деятельность которой в Proofpoint отслеживают под идентификатором TA413.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 01 Апреля 2026 - 09:32

Соответствие законодательству РФ Малый и средний бизнес Корпорации Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

ИТ-компаниям пригрозили лишением аккредитации за пропуск VPN-трафика

ИТ-компании, которые не ограничат доступ пользователей к своим продуктам при включённом VPN, могут лишиться аккредитации Минцифры по инициативе спецслужб. Кроме того, их приложения могут исключить из перечня для предустановки на новые устройства.

Такие меры предусматривает проект постановления правительства, разработанный Минцифры. Документ оказался в распоряжении «Коммерсанта».

Согласно проекту, обязательным условием для включения приложения в список предустановки станет невозможность его работы при включённом VPN.

Кроме того, ФСБ получит право вносить предложения о лишении ИТ-компаний аккредитации в случае «выявления нарушений требований по обеспечению информационной безопасности доступа к таким платформам». По данным источников издания, одним из таких нарушений может считаться возможность работы сервиса при включённом VPN.

Ранее стало известно, что сайты из «белых списков» также рискуют быть исключёнными из них, если они остаются доступными для пользователей с включённым VPN. По имеющимся данным, письмо с таким обращением уже направлено компаниям.

Все эти меры, как ранее заявлял глава Минцифры Максут Шадаев, направлены на сокращение масштабов использования VPN в России без введения административной ответственности за это. Одновременно работу таких сервисов продолжает ограничивать Роскомнадзор. По состоянию на конец февраля число неработающих VPN достигло 469.

При этом, как заявил один из собеседников издания, выявление VPN-трафика требует установки достаточно дорогостоящего оборудования. Кроме того, такие системы нуждаются в постоянной донастройке.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!