Государственные органы и организации критической информационной инфраструктуры (КИИ) России стали мишенью для новой серии целевых фишинг-атак. Как сообщают эксперты по кибербезопасности, активность ведёт хакерская группировка, получившая условное обозначение Cloud Werewolf. Её тактика предполагает рассылку электронных писем с социально-инженерными темами, такими как «О деятельности Ростехнадзора Республика Татарстан» или «О предоставлении информации».
Описание
Во вложениях этих писем злоумышленники размещают вредоносные документы Microsoft Word. Файлы имеют названия «O deiatel'nosti Rostekhnadzora_Respublika Tatarstan.doc» или «Соцпаспорт_организации.doc». Если пользователь открывает такой документ, система автоматически загружает с удалённого ресурса специально созданный RTF-файл. Данный файл эксплуатирует давнюю, но до сих пор опасную уязвимость в пакете Microsoft Office.
Речь идёт об уязвимости, связанной с неправильной обработкой объектов в памяти. Она известна под идентификатором BDU:2018-00096 и имеет высокий уровень опасности по шкале CVSS 3.0. Успешная эксплуатация этой уязвимости позволяет злоумышленнику выполнить произвольный код на компьютере жертвы. Следовательно, атакующие получают возможность установить вредоносное ПО, похитить данные или обеспечить себе постоянное присутствие (persistence) в системе.
Ключевой особенностью данной кампании является использование устаревшей, но всё ещё эффективной уязвимости. Этот факт указывает на то, что группа Cloud Werewolf, вероятно, целенаправленно ищет системы с неустановленными обновлениями безопасности. Подобный подход часто используют продвинутые постоянные угрозы (APT - Advanced Persistent Threat), которые тщательно изучают свою цель.
В связи с выявленной угрозой профильные ведомства выпустили официальные рекомендации. Основной мерой защиты является немедленная установка актуальных обновлений безопасности для Microsoft Office. При этом процесс установки должен проводиться в строгом соответствии с регламентами.
В частности, рекомендуется руководствоваться «Методикой тестирования обновлений безопасности программных, программно-аппаратных средств», утверждённой ФСТЭК России. Также следует применять «Методику оценки уровня критичности уязвимостей», утверждённую тем же ведомством. Эти документы обеспечивают корректное и безопасное внедрение заплаток в инфраструктуре государственных организаций и субъектов КИИ.
Если установка обновления по каким-либо причинам невозможна, эксперты советуют рассмотреть альтернативные варианты. Например, временный переход на другие офисные приложения, не подверженные данной конкретной уязвимости. Это может послужить эффективной временной мерой до полного устранения проблемы.
Данный инцидент в очередной раз подчёркивает важность своевременного управления обновлениями. Регулярная установка патчей остаётся одной из базовых, но критически важных практик кибергигиены. Особенно это актуально для организаций, работающих с конфиденциальной информацией или выполняющих стратегически важные функции. Борьба с современными APT-угрозами требует комплексного подхода, где технические меры сочетаются с повышением осведомлённости пользователей о фишинговых рисках.
Индикаторы компрометации
URLs
- https://perfectfinder.net/?p/70189315/comments/zinke
- https://updatechecker.org/?jkhp.html_slackwittedness;
SHA256
- 5c14458cc239fdcc937f62f249a7426a4ad073c1acc39bffdf11cf8f50c364c3
- ff9f893da58729e61c88386f25e069446bfd07bcf79fd8c1fbe793469835b283
