Руски државни хакери нису губили време искоришћавајући критичну рањивост Мицрософт Оффице-а која им је омогућила да угрозе уређаје у дипломатским, поморским и транспортним организацијама у више од пола туцета земаља, рекли су истраживачи у среду.
Група претњи, праћена под именима укључујући АПТ28, Фанци Беар, Седнит, Форест Близзард и Софаци, насрнула је на рањивост, праћену као ЦВЕ-2026-21509, мање од 48 сати након што је Мицрософт објавио хитну, непланирано безбедносно ажурирање крајем прошлог месеца, рекли су истраживачи. Након реверзног инжењеринга закрпе, чланови групе су написали напредни експлоат који је инсталирао један од два никада раније виђена бацкдоор имплантата.
Невидљивост, брзина и прецизност
Цела кампања је осмишљена тако да се компромис учини неприметним за заштиту крајњих тачака. Осим што су били нови, експлоати и корисни терети су били шифровани и покренути у меморији, због чега је било тешко уочити њихову злобу. Иницијални вектор инфекције дошао је са претходно компромитованих владиних налога из више земаља и вероватно је био познат циљаним власницима е-поште. Командни и контролни канали су били хостовани у легитимним услугама у облаку које су обично наведене на листи дозвољених унутар осетљивих мрежа.
„Употреба ЦВЕ-2026-21509 показује колико брзо актери који су усклађени са државом могу да наоружају нове рањивости, смањујући прозор за браниоце да закрпе критичне системе“, истраживачи, са безбедносном фирмом Треллик, написао. „Модуларни ланац заразе кампање – од почетног пхисх-а до бацкдоор-а у меморији до секундарних имплантата пажљиво је дизајниран да искористи поуздане канале (ХТТПС до услуга у облаку, легитимне токове е-поште) и технике без датотека да се сакрију на видику.”
72-часовна спеар пхисхинг кампања почела је 28. јануара и испоручила је најмање 29 различитих мамаца путем е-поште организацијама у девет земаља, првенствено у источној Европи. Треллик је навео осам од њих: Пољску, Словенију, Турску, Грчку, УАЕ, Украјину, Румунију и Боливију. Циљане организације су била министарства одбране (40 процената), транспортни/логистички оператери (35 процената) и дипломатски субјекти (25 процената).
