11 июля 2023 года компания Microsoft выпустила очередное обновление безопасности в рамках традиционного Patch Tuesday, закрыв 132 уязвимости, среди которых шесть уже активно эксплуатируются злоумышленниками, а 37 относятся к категории критических уязвимостей удаленного выполнения кода (RCE). Особое внимание экспертов по кибербезопасности привлекла уязвимость CVE-2023-36884, связанная с обработкой HTML-кода в Office и Windows. Microsoft подтвердила, что данная уязвимость уже используется в целевых атаках, когда злоумышленники рассылают специально сформированные документы Office, способные привести к выполнению произвольного кода на устройстве жертвы.
Описание
Эксплуатация уязвимости CVE-2023-36884 была зафиксирована в рамках фишинговой кампании, организованной группировкой Storm-0978, которая, по данным Microsoft, действует в интересах российских спецслужб. Атаки были направлены на оборонные и правительственные организации в Европе и Северной Америке. Злоумышленники использовали социальную инженерию, рассылая письма с тематикой, связанной с Всемирным конгрессом в Украине, чтобы заставить жертв открыть вредоносные вложения.
Группировка Storm-0978 известна своей многопрофильной преступной деятельностью, включая операции по вымогательству с использованием ransomware, а также целевые атаки для кражи учетных данных. Одним из ключевых инструментов группировки является бэкдор RomCom, который позволяет злоумышленникам получать полный контроль над зараженными системами. Кроме того, Storm-0978 связана с распространением программы-вымогателя Underground, которая имеет сходство с ранее обнаруженным вредоносным ПО Industrial Spy.
Microsoft также обнаружила, что в июне 2023 года группировка использовала уязвимость CVE-2023-36884 для распространения модифицированной версии RomCom. Атака начинается с фишинговых сайтов, имитирующих страницы популярного ПО, включая Adobe Reader, SolarWinds Network Performance Monitor, Advanced IP Scanner, KeePass и Signal. Пользователи, переходя по ссылкам, загружают вредоносные исполняемые файлы, которые устанавливают бэкдор и открывают злоумышленникам доступ к системе.
Эксперты Microsoft рекомендуют немедленно установить последние обновления безопасности, чтобы защититься от эксплуатации уязвимостей. Также важно соблюдать базовые правила кибергигиены: не открывать подозрительные вложения, проверять источники загружаемых файлов и использовать многофакторную аутентификацию для защиты учетных записей. В условиях роста сложности и масштабов кибератак подобные меры становятся критически важными для организаций любого уровня.
Учитывая активность Storm-0978 и использование ими как фишинга, так и сложных вредоносных инструментов, компании должны усилить мониторинг сетевой активности и обучать сотрудников распознаванию социальной инженерии. Microsoft продолжает отслеживать действия группировки и обещает предоставлять дополнительные рекомендации по защите в случае обнаружения новых угроз.
Индикаторы компрометации
MD5
- 059175be5681a633190cd9631e2975f6
SHA1
- fb4ad5d21f0d8c6755eb4addba0ac288bd2574b6
SHA256
- d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666
