Попытка похищения секретных данных: на саммите НАТО Microsoft отразила хакерскую атаку

Copy
Хакеры. Иллюстративное фото.
Хакеры. Иллюстративное фото. Фото: Mikhail Nilov / Pexels

Вчера компания Microsoft объявила о раскрытии фишинговой атаки, направленной на саммит НАТО в Вильнюсе и использующую так называемую угрозу «нулевого дня». Цель атаки - получить доступ к секретным документам и похитить данные.

За атакой стоит хакер или группа хакеров Storm-0978. Ранее этот же злоумышленник уже пытался атаковать оборонные и правительственные учреждения в Европе и Северной Америке.

Фишинговая кампания была направлена ​​на использование уязвимости в системе безопасности CVE-2023-36884, позволяющей удаленно запускать программы на компьютере пользователя. Атака была проведена по типичной фишинговой схеме: пользователю по электронной почте отправлялась, казалось бы, невинная ссылка для загрузки документа Word, но при ее открытии запускалось окно для удаленного доступа к компьютеру.

Для получения данных от участников Вильнюсского саммита НАТО была использована простая приманка: им был разослан вроде бы официальный документ, связанный с проведением Всемирного конгресса украинцев, который на самом деле был заражен. Адрес сайта также был очень похож на реальный.

Storm-0978 (или RomCom, что также является названием их бэкдора) - киберпреступная группировка из России, известная Microsoft как организатор операций по распространению вымогательских программ, а также целенаправленных атак на конкретные цели.

Наиболее известным «продуктом» Storm-0978 является бэкдор под названием RomCom, который внедряет в компьютер жертвы программу-вымогатель. Он шифрует данные пользователя и требует выкуп в обмен на криптоключ, необходимый для их разблокировки.

По данным Microsoft, эта программа-вымогатель тесно связана с вредоносной программой Industrial Spy, распространение которой впервые было замечено в мае прошлого года.

Целенаправленные операции Storm-0978 оказали влияние на правительственные и военные организации, главным образом в Украине, а также в Европе и Северной Америке, когда они участвовали в оказании помощи Украине. Выявленные атаки с использованием программ-вымогателей затронули, в частности, телекоммуникационные и финансовые компании.

Так выглядело фишинговое письмо, направлявшее зараженного на скачивание документов.
Так выглядело фишинговое письмо, направлявшее зараженного на скачивание документов. Фото: Microsoft
Это один из документов, с помощью которого пытались скачать секретную информацию с компьютеров участников саммита НАТО. Троян выглядит как один из официальных документов Всемирного конгресса украинцев.
Это один из документов, с помощью которого пытались скачать секретную информацию с компьютеров участников саммита НАТО. Троян выглядит как один из официальных документов Всемирного конгресса украинцев. Фото: Microsoft

Microsoft 365 Defender, продукт безопасности Microsoft, обнаруживает активность Storm-0978 и защищает от файлов, пытающихся использовать уязвимость CVE-2023-36884. К настоящему времени большинство программ безопасности выпустили средство против него.

Однако если защитное ПО не может защитить от угрозы, пользователи более технического решения могут установить ключ регистра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION на своем ПК с ОС Windows, но это также должно частично повлиять на работу офисного ПО Microsoft.

Основываясь на известных случаях вторжений, Microsoft обнаружила, что Storm-0978 получил доступ к реестру Windows, где в результате атаки был удален ключ пароля Security Account Manager (SAM). Для доступа к нему злоумышленникам необходимо получить привилегии системного уровня.

Украинское агентство по киберинцидентам CERT-UA также выпустило предупреждение о том, что англоязычный сайт Всемирного конгресса украинцев (официальный и единственный сайт www.ukrainianworldcongress.org) был скопирован и загружен на аналогичные вредоносные домены. Оттуда можно скачать зараженные документы под названиями Overview_of_UWCs_UkraineInNATO_campaign.docx и Letter_NATO_Summit_Vilnius_2023_ENG(1).docx.

Содержание этих документов и отправленные фишинговые письма позволяют предположить, что атака направлена именно на участников саммита НАТО.

Наверх