11 июля 2023 г. компания Microsoft представила очередное обновление Patch Tuesday, включающее 132 уязвимости, из которых шесть активно эксплуатируются, а тридцать семь относятся к категории уязвимостей удаленного выполнения кода (Remote Code Execution, RCE).
Кроме того, компания Microsoft опубликовала специальную статью, посвященную уязвимости CVE-2023-36884, связанной с удаленным выполнением кода в Office и Windows HTML. Microsoft известно о целенаправленной атаке, которая пытается использовать эту уязвимость с помощью специально созданных документов Microsoft Office. Специально созданный документ Office позволяет злоумышленнику выполнить удаленное выполнение кода. Однако для успешного использования уязвимости злоумышленник должен убедить жертву открыть вредоносный документ Office.
Компания Microsoft обнаружила фишинговую кампанию, проводившуюся агентом угроз (TA) под ником Storm-0978. Кампания была направлена на оборонные и правительственные организации в Европе и Северной Америке. Для осуществления атаки TA использовал приманки, связанные с проведением Всемирного конгресса в Украине, и эксплуатировал уязвимость, идентифицированную как CVE-2023-36884.
Киберпреступная группа Storm-0978, действующая на территории России, известна тем, что занимается различными видами противоправной деятельности. В частности, она проводит операции по вымогательству выкупных программ и целевые кампании по сбору учетных данных. Эта группа также известна разработкой и распространением бэкдора RomCom и внедрением программы Underground Ransomware.
Программа Underground Ransomware в значительной степени связана с программой Industrial Spy Ransomware, обнаруженной в дикой природе в мае 2022 года. Кроме того, компания Microsoft сообщила, что недавняя кампания, выявленная в июне 2023 года, использовала уязвимость CVE-2023-36884 для распространения бэкдора, имеющего сходство с RomCom.
Эта группа Storm-0978 использует для первичного заражения фишинговый сайт, маскирующийся под известное легитимное ПО. В число выдаваемых за легитимные продуктов входят продукты Adobe, SolarWinds Network Performance Monitor, SolarWinds Orion, Advanced IP Scanner, KeePass и Signal. Посещая эти фишинговые сайты, пользователи неосознанно загружают и выполняют файлы, которые приводят к заражению бэкдором RomCom.
Indicators of Compromise
MD5
- 059175be5681a633190cd9631e2975f6
SHA1
- fb4ad5d21f0d8c6755eb4addba0ac288bd2574b6
SHA256
- d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666
