11 июля компания Microsoft выпустила бюллетени безопасности, устраняющие 132 уязвимости.
RomCom APT
В июльском Patch Tuesday компания Microsoft также устранила 6 уязвимостей "нулевого дня". Для справки ниже перечислены уязвимости "нулевого дня":
- CVE-2023-32046 - уязвимость повышения привилегий платформы Windows MSHTML
- CVE-2023-32049 - Уязвимость обхода защитной функции Windows SmartScreen
- CVE-2023-36874 - Уязвимость повышения привилегий службы отчетов об ошибках Windows
- CVE-2023-36884 - Уязвимость удаленного выполнения кода в Office и Windows HTML
- CVE-2023-35311 - Уязвимость обхода защитных функций Microsoft Outlook
- ADV230001 - Руководство по вредоносному использованию драйверов с подписью Microsoft
Из них особый интерес для отдела исследований угроз (TRU) компании Qualys представляет CVE-2023-36884. Microsoft приписывает эту уязвимость агенту угроз под именем Storm-0978/RomCom. Кроме того, в силу характера этих уязвимостей велика вероятность того, что угрожающий агент объединит CVE-2023-32049, CVE-2023-35311 и CVE-2023-36884.
Что интересно, эта группа угроз, приписываемая российскому региону, использует хитроумную тактику, чтобы оставаться незамеченной. Она использует выкупные программы, что, возможно, помогает ей оставаться незамеченной в своих реальных шпионских целях. Еще более удивительным является тот факт, что для этой уязвимости не было выпущено никаких исправлений.
Еще одним интересным моментом, который вы увидите в разделе анализа уязвимостей, является близкое сходство с ранее выпущенной уязвимостью Follina, которая затрагивала пакет продуктов Microsoft Office.
Indicators of Compromise
IPv4
- 104.234.239.26
- 66.23.226.102
- 74.50.94.156
- 94.232.40.34
SHA256
- 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d
- 1a7bb878c826fe0ca9a0677ed072ee9a57a228a09ee02b3c5bd00f54f354930f
- 3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97
- a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f
- e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539