Устаревшая уязвимость Microsoft Office вновь стала оружием: международная фишинговая кампания атакует бизнес с помощью трояна Remcos

Атака начиналась классически - с фишингового письма. Сообщения, маскирующиеся под деловую переписку, приходили сотрудникам компаний из России и стран Азиатско-Тихоокеанского региона. Целями стали секторы с высокой экономической или технологической значимостью: ИТ, телекоммуникации, логистика, морские перевозки, а также медицина, включая узкоспециализированную ядерную медицину и производство изделий медицинского назначения. В письмах содержался вложенный файл Microsoft Excel, который и был ключом ко всей атаке. Специалисты центра мониторинга и реагирования GSOC компании «Газинформсервис» детально исследовали один из таких инцидентов, что позволило раскрыть полную цепочку компрометации.

Анализ показал, что вредоносный Excel-файл использовал эксплоит для уязвимости, известной под идентификатором CVE-2017-11882. Эта проблема, связанная с ошибкой в редакторе уравнений пакета Microsoft Office, была официально закрыта ещё в ноябре 2017 года. Однако её эксплуатация позволяет злоумышленнику выполнить произвольный код на компьютере жертвы в контексте прав пользователя, открывшего документ. Если сотрудник работает с правами администратора, что, к сожалению, не редкость, атакующий получает практически полный контроль над системой. Успешное срабатывание эксплоита запускало сложный каскад действий.

Полезная нагрузка атаки включала PowerShell-скрипты, которые, в свою очередь, загружали с управляющего сервера злоумышленников дополнительные компоненты. Конечной целью было внедрение в систему трояна удалённого доступа Remcos RAT. Важно отметить, что Remcos изначально является легальным коммерческим программным обеспечением для удалённого администрирования. Однако в руках киберпреступников он превращается в мощный инструмент для шпионажа, кражи данных и скрытого контроля над инфраструктурой жертвы. Троянец позволяет действовать от имени легитимного пользователя, что значительно усложняет обнаружение аномалий стандартными средствами защиты.

Исследование индикаторов компрометации выявило международный характер кампании. Письма приходили с поддельных адресов, имитирующих польские и азиатские компании, а их содержимое было локализовано на разные языки. Аналитики обнаружили, что один и тот же управляющий сервер использовался для атак на организации в разных странах, а на ресурсе VirusTotal присутствовали образцы аналогичных вредоносных файлов, отправленных на проверку из других российских компаний. Это указывает на скоординированные и широкомасштабные действия одной группы злоумышленников или на использование одних и тех же инструментов в рамках сервисной модели киберпреступности.

Основной причиной успеха этой кампании стало наличие в корпоративных сетях устаревшего, необновлённого программного обеспечения. Уязвимость CVE-2017-11882 давно известна и исправлена, но её продолжают эксплуатировать именно потому, что многие организации до сих пор не установили соответствующие патчи безопасности. Между тем, последствия успешной атаки могут быть крайне серьёзными. Попав в систему, троян Remcos предоставляет злоумышленникам возможность похищения конфиденциальной коммерческой информации, данных клиентов и интеллектуальной собственности. В критически важных отраслях, таких как логистика или медицина, это может привести к операционным сбоям, финансовым потерям и репутационному ущербу.

Для эффективного противодействия подобным угрозам необходимо вернуться к фундаментальным принципам кибергигиены. В первую очередь, критически важно обеспечить регулярное и своевременное обновление всего программного обеспечения, особенно офисных пакетов и операционных систем. Следует отказаться от практики работы с почтой и офисными документами под учётными записями с правами администратора, что резко ограничивает возможности злоумышленника даже в случае успешного проникновения. Кроме того, обязательным является обучение сотрудников навыкам распознавания фишинговых писем, включая внимательную проверку адресов отправителей и осторожность при открытии неожиданных вложений.

С технической стороны защиту усилит внедрение решений класса EDR, которые отслеживают поведение процессов на конечных точках, и грамотно настроенных почтовых шлюзов с системами песочницы для анализа вложений. Мониторинг сетевой активности на предмет подключений к подозрительным адресам, а также использование возможностей SOC для круглосуточного анализа событий информационной безопасности позволяют обнаруживать аномалии на ранних стадиях и оперативно на них реагировать. Эта кампания служит очередным напоминанием: устойчивость к современным угрозам строится не на отдельных сложных решениях, а на последовательном и неукоснительном соблюдении базовых мер защиты, лишающих злоумышленников их главного преимущества - эксплуатации известных, но не устранённых уязвимостей.

IPv4

• 172.94.100.226
• 192.3.176.237

Domains

• alphaheat.pl
• gsxshpltd.com
• shuiqianyeting.com

MD5

• 1e3647602ee634e3f907a10a437a6a5c
• 3e9ef0aa0c63c21fd88804d258465648
• 43c77eee51413a35c515122cd0faf206
• 4c73235d0ed7568a7cefc39649c588f0
• 4e00025e9e7314409f396b92d4293438
• 5299d1e88f88cf593f1132dbe536bc12
• 6aaa503df35c8e7fe493debf32e0acd0
• 6c23e15df1ee49b9fa2122081a500cba
• 80ea216322f3dd20134bcb13609bc54d
• 8228f9b78dd4f93bdfda423c0b30f254
• 8bc6ac68ec3984f22a96a5a1eb16a18a
• a3953ffd7828e7d679438b70b2747b73
• a6d5ba537532b632cabb9ce80ef1670e
• be059cf8351f0958710bceaeeb8b5542
• cb9eb5cd26c77e1d3219323d90021602
• e362412b15c861b187fa0762ff5c5581
• e6b3e70f91c1412423da94ee67dcd2f9
• e8188f47b69afba9b295b961e9eb47d4
• f9d8154195f7557b910b97bef2df0c81
• ff1173db5f3e912aad226f3b19d2c928

SHA1

• 0ba68515c970c336677e6c744bd2576a8b0c23a4
• 0bfe694ddc11ed405aa67f5991e8dd53a8a44a20
• 0e8c5f472e33961bdf1706ffad00e1568d595eca
• 2223779f619bdd3632da2bb9118fe50092a79338
• 259de23358e27a056a1cc9ffb7392e9a84e9e4ce
• 39df65be8cf34c879ce8c40e02a2ecb9f04e1f47
• 4d8e1f2a6d7e54948fda5f48a48d771d5dedea7a
• 5c2cd5ed1844e33b963af0d252143af1ae357acc
• 5d4e84925cefa8e972b4283f7046243cae81cffc
• 731c87650bff36fd457397d488f3443a3f922ba7
• 73e5d110f783b35b4f1f5e93bbc5264a0b106d7a
• 78b4f3d6b7d2979249cfa184fc71334891e45a17
• 85b462e08440428da13c3f73d4f22933684d0ae9
• 8678f054366502337cc7eb73a9d0bc4d8a66008e
• a5795db2ce82cf09fa67b8551eee6539943e54cf
• b5b6d9fa34eb1403c5114ceece76466e5250fe5c
• e1a23576c16003421942895cc789468563388064
• e79206058496408dd1cfc2e96f9d730d40e5a9a8
• e9e7f6726c4a4ff258fbe1d9b77671fe9a18db82
• fefe9175e193819492781d955426b8f20db8f18c

SHA256

• 06d9d92b51d6801a4c359c7800644899583d4a5c93a842a072204d74f3fbd424
• 168a8f539999c5aa8be06a620fdc7d0f9dc44ea28fc436218a1bb9fd04d273be
• 1e8965b4d9ff13d9a71f702f1290f1caec9a3569870b9cb4dd39182fd33b758a
• 3b77ad9aca70f8d722320218c8e6d6422409cda9f51e2b222e351d0125504260
• 412551d0d179d53bfa83258e19a2ade71af70a372dc2235ed10490f9217dd496
• 5501dec4aed51de2c33ca105f5897cbb73f4d65e32b239877a30db918c7c2fea
• 6747a5acac297724c4f6cb2332c7b84d8f3776f190bddf469c625f052cf1de59
• 6a14b39ae8ac4a30b6345ff84e2afa19ec33e0e29178d803e723e783f1db3cff
• 70f3f1092e5df170c6522ea35ed1c1caa0b44b5914c332e04f4136f5d9d0513b
• 7558458b8c87d45007299a8a1e1af9c31627f20a7cc6b5d49e083c42249b1cc2
• 818ce6d4783106f464ea36b948c76de53631164b37e2189f5a689deab76f4494
• 8b7f751fb4f0382b2ccf8382b9467e854abae80c2516f61d2e5e045e64789b3b
• 8c6f181fa2742049a1c34ffbd78426d7ffb42f32abfbbc7e6c343980bd500b6c
• 8f62742a2a529a12295be70321622a85d62411d064882ca18e9f871c43dbd5bf
• a16727907b3f116a257311fb8436dbd3c6e15f39cf45e422aa525c0bff5d5533
• aeaf7f32d40f0ef11e314e595734b28e15aea039e193a6b760164e7e8404aeeb
• aee1d14e32cfe09436141a605cdb3f7b9216e11a9e7a094198a4b871a6d9a6a6
• bd2c00f361efde942fd1c15856071a6f146423f314fffd2884073c501e34eed8
• c43ed482b76f03e7e0939af3d009aedee98ef7f93f4f05cb3e2f60b5952ef2e9
• d5b81b9b94b92499a8bc6bedff84109a04772e56dbfc263b2395c48b6f1ab0d4