Зловредов прячут в надстройках Office, созданных с помощью Visual Studio

Татьяна Никитина 03 Февраля 2023 - 18:17

Домашние пользователи

...

Эксперты Deep Instinct зафиксировали несколько атак, авторы которых используют надстройки VSTO (Microsoft Visual Studio Tools for Office) для доставки NET-зловредов в обход защиты Windows.

Вредоносная сборка чаще всего упакована вместе с документом, реже — загружается со стороннего сервера. Исполнение кода происходит при открытии файла в соответствующем офисном приложении (Word, Excel и проч.).

Согласно блог-записи Deep Instinct, присутствие VSTO-надстройки в файле можно определить по наличию пользовательских данных XML (custom.xml), по которым приложение находит и устанавливает целевую сборку.

Зависимости полезной нагрузки (скомпилированной в NET динамической библиотеки) хранятся вместе с документом, обычно внутри контейнера ISO. Злоумышленники задают этим файлам свойство «скрытый», чтобы создать видимость, будто архив содержит только документ Office.

При его запуске на экране появляется предложение включить режим редактирования — как в случае с макросом, только здесь еще требуется разрешение на установку надстройки для просмотра документа. Если пользователь даст согласие, система выведет предупреждение с кнопками выбора:

Образец пейлоада, обнаруженный в ходе одной из атак, исполнял закодированный и сжатый PowerShell-код, загружающий дополнительный скрипт с C2. Другой семпл хранился отдельно от документа на удаленном сервере; в его задачи входила доставка запароленного ZIP-архива с вшитого URL, распаковка содержимого в папку %\AppData\Local\ и запуск высвобожденного conhost.exe.

Финальную полезную нагрузку в обоих случаях определить не удалось: на момент анализа C2-серверы были недоступны.

Для демонстрации VSTO как вектора атаки аналитики создали PoC-код, умышленно выбрав пейлоад с высоким уровнем детектирования. Остальные компоненты с успехом обошли Microsoft Defender.

Атаки с использованием VSTO пока редки, однако исследователи не исключают, что этот вектор возьмут на вооружение APT-группы и другие хорошо обеспеченные хакеры. Это еще одна альтернатива макросам VBA, для которых Microsoft ввела дефолтную блокировку. Злоумышленники теперь опробуют другие методы доставки вредоносов, отдавая предпочтение форматам файлов, не вызывающим подозрение у защиты — таким как ISO, VHD, RAR, XLL.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 19:17

Корпорации

Printum и РЕД АДМ создают единый контур управления безопасной печатью

Российская система управления печатью Printum и система централизованного управления ИТ-инфраструктурой РЕД АДМ объявили о полной технической совместимости. Интеграция позволяет выстроить единый контур управления доступом, учётными записями и печатью в корпоративных инфраструктурах — от небольших офисов до распределённых сетей с множеством филиалов.

Во многих компаниях печать и сканирование до сих пор существуют как отдельная, «параллельная» инфраструктура: с собственными настройками, администраторами и рисками утечек.

Новая интеграция меняет этот подход. Управление печатью становится частью общей доменной политики — наряду с доступом к системам, сервисам и корпоративным ресурсам.

Теперь политики печати, сканирования и копирования можно напрямую связывать с ролями и группами пользователей, а доступ назначать и отзывать централизованно — через те же механизмы, которые используются для управления доменом и объектами ИТ-инфраструктуры. Это снижает количество «слепых зон» и упрощает администрирование.

Совместная дорожная карта Printum и РЕД АДМ предполагает более глубокую интеграцию. Элементы управления печатью будут доступны непосредственно в интерфейсе РЕД АДМ, а изменения в ролях и группах автоматически будут отражаться в правах на печать, сканирование и копирование. Администратору не потребуется поддерживать отдельные инструменты или политики — всё управление будет встроено в общую доменную структуру.

Для корпоративных заказчиков это означает переход к более унифицированной модели администрирования. Все ключевые операции выполняются через единый веб-интерфейс РЕД АДМ, а печать становится полноценной частью системы контроля доступа. Интеграция также рассчитана на масштабирование: решение подходит как для небольших организаций, так и для инфраструктур федерального уровня, включая среды с несколькими доменами.

Отдельно отмечается поддержка гетерогенных инфраструктур. Printum и РЕД АДМ могут работать в средах со смешанным набором систем на базе Linux и Windows, а также выстраивать доверительные отношения с Microsoft Active Directory, что упрощает поэтапную миграцию с зарубежных решений.

В Printum называют интеграцию логичным шагом в сторону более централизованного и управляемого подхода к печати, а в РЕД СОФТ подчёркивают, что совместимость расширяет возможности РЕД АДМ как универсального инструмента управления ИТ-инфраструктурой.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »