:format(webp)/nginx/o/2023/07/12/15451027t1hc971.jpg)
Вчера компания Microsoft объявила о раскрытии фишинговой атаки, направленной на саммит НАТО в Вильнюсе и использующую так называемую угрозу «нулевого дня». Цель атаки - получить доступ к секретным документам и похитить данные.
Попытка похищения секретных данных: на саммите НАТО Microsoft отразила хакерскую атаку
:format(webp)/nginx/o/2022/03/07/14412109t1h16fe.png)
12 июля 2023, 14:36
За атакой стоит хакер или группа хакеров Storm-0978. Ранее этот же злоумышленник уже пытался атаковать оборонные и правительственные учреждения в Европе и Северной Америке.
Фишинговая кампания была направлена на использование уязвимости в системе безопасности CVE-2023-36884, позволяющей удаленно запускать программы на компьютере пользователя. Атака была проведена по типичной фишинговой схеме: пользователю по электронной почте отправлялась, казалось бы, невинная ссылка для загрузки документа Word, но при ее открытии запускалось окно для удаленного доступа к компьютеру.
Для получения данных от участников Вильнюсского саммита НАТО была использована простая приманка: им был разослан вроде бы официальный документ, связанный с проведением Всемирного конгресса украинцев, который на самом деле был заражен. Адрес сайта также был очень похож на реальный.
Storm-0978 (или RomCom, что также является названием их бэкдора) - киберпреступная группировка из России, известная Microsoft как организатор операций по распространению вымогательских программ, а также целенаправленных атак на конкретные цели.
Наиболее известным «продуктом» Storm-0978 является бэкдор под названием RomCom, который внедряет в компьютер жертвы программу-вымогатель. Он шифрует данные пользователя и требует выкуп в обмен на криптоключ, необходимый для их разблокировки.
По данным Microsoft, эта программа-вымогатель тесно связана с вредоносной программой Industrial Spy, распространение которой впервые было замечено в мае прошлого года.
Целенаправленные операции Storm-0978 оказали влияние на правительственные и военные организации, главным образом в Украине, а также в Европе и Северной Америке, когда они участвовали в оказании помощи Украине. Выявленные атаки с использованием программ-вымогателей затронули, в частности, телекоммуникационные и финансовые компании.
/nginx/o/2023/07/12/15451041t1h38cc.jpg)
/nginx/o/2023/07/12/15450983t1h3d65.jpg)
Microsoft 365 Defender, продукт безопасности Microsoft, обнаруживает активность Storm-0978 и защищает от файлов, пытающихся использовать уязвимость CVE-2023-36884. К настоящему времени большинство программ безопасности выпустили средство против него.
Однако если защитное ПО не может защитить от угрозы, пользователи более технического решения могут установить ключ регистра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION на своем ПК с ОС Windows, но это также должно частично повлиять на работу офисного ПО Microsoft.
Основываясь на известных случаях вторжений, Microsoft обнаружила, что Storm-0978 получил доступ к реестру Windows, где в результате атаки был удален ключ пароля Security Account Manager (SAM). Для доступа к нему злоумышленникам необходимо получить привилегии системного уровня.
Украинское агентство по киберинцидентам CERT-UA также выпустило предупреждение о том, что англоязычный сайт Всемирного конгресса украинцев (официальный и единственный сайт www.ukrainianworldcongress.org) был скопирован и загружен на аналогичные вредоносные домены. Оттуда можно скачать зараженные документы под названиями Overview_of_UWCs_UkraineInNATO_campaign.docx и Letter_NATO_Summit_Vilnius_2023_ENG(1).docx.
Содержание этих документов и отправленные фишинговые письма позволяют предположить, что атака направлена именно на участников саммита НАТО.