Мы, как настоящие нерды, безусловно уважающие вселенную D&D и вообще классические RPG в изометрии, совершенно не могли пройти мимо свежей Baldur's Gate 3, в связи с чем хотим поделиться своим кратким мнением.

Нет, мы, конечно, знали кто такие Larian Studios, и даже знакомились с Divinity: Original Sin. И тем не менее, вся эта боевка в Baldur's Gate 3 все равно для нас выглядит как винрарная Игра в Жижу:
- У меня випчик золотой был, я спиной к северу стоял! Север золото не режет!
- Сдурел что-ли, север-то там!
- А-а, мы же в длинную играем...

The Record, агитлисток вашингтонского обкома, неудачно прикидывающийся инфосек-изданием, выпустил подкаст с ошеломляющим заголовком "Илья Сачков против Кремля", ремейк мультипликационного блокбастера "Баба Яга против!" 1979 года выпуска.

В подкасте рассказывается как морфин потек в сачковские вены, сам Илья Константинович сравнивается с Суперменом, а основным лейтмотивом проходит идея, что Сачкова закрыли за то, что он "выступил с обвинениями в адрес Кремля в 2021 году".

Приводится куча мнения заседающего в настоящее время на Кипре Игоря Каткова, который представлен как один из двух основателей Group IB. На Волкова забили, на Писемского тем более. Про обыски у Сачкова еще в 2016 году и не вспоминали даже.

При всем нашем неоднозначном отношении к Сачкову (мы его то жестко троллили, то искренне хвалили) должны признать, что такая тупорылая статья в ангажированном американском издании на пользу ему явно не пойдет. Поэтому когда ему будут отказывать в УДО лет через 8 пусть поблагодарит журналистов The Record. И немного Каткова.

Тем временем пришла пора обновить наш пост от 31 июля, в котором приводилось число в 540 компаний, пострадавших от атак вымогателей из Cl0p через дырку в MOVEit Transfer.

На днях Resecurity подогнали новую статистику. По состоянию на 23 августа число пострадавших коммерческих и государственных организаций оценивается в 963 штуки, утечки затронули 58 миллионов людей. Среди жертв - три компании из Большой Четверки (Deloitte, Ernst & Young и PWC), Shell, Deutsche Bank, Sony, Siemens, British Airways, Минэнерго США и прочие и прочие.

Вот это мы понимаем, погуляли на все деньги.

Ведущая южнокорейская инфосек компания Ahnlab выкатила на гора большой отчет о последней активности Andariel, специализирующейся на кибершпионаже подгруппы самой известной северокорейской APT Lazarus.

Тот самый случай, когда комментировать - только портить. Поэтому читайте на здоровье, благо онлайн-переводчики с корейского работают прекрасно.

В продолжение темы APT Lazarus - Cisco Talos выпустили отчет в двух частях (1, 2) о киберкампании северокорейской хакерской группы 2023 года, направленной на магистральных Интернет-провайдеров и организации здравоохранения в Европе и США.

Атаки с использованием уязвимости CVE-2022-47966 в Zoho ManageEngine начались всего через 5 дней после появления в паблике ее PoC. После успешной эксплуатации и получения первоначального доступа жертве загружался QuiteRAT - дальнейшее упрощенное развитие используемого Lazarus ранее MagicRAT, который имеет размер в 5 раз меньше предшественника.

В ходе дальнейшего изучения вредоносной инфраструктуры, используемой в данной киберкампании, исследователи обнаружили новый троян удаленного доступа, который используется подгруппой Andariel, получивший название CollectionRAT.

Также Talos заявили, что "Lazarus все больше полагается на инструменты с открытым кодом" и в качестве примера привели платформу DeimosC2 на базе GoLang, аналог CobaltStrike и Sliver, а также инструмент обратного туннелирования PuTTy Link.

Тащемта Lazarus продолжает оставаться, пожалуй, самой активной APT в мире, постоянно развиваясь и совершенствуя свои вредоносные инструменты, инфраструктуру.

͏Редакторы канала SecAtor пилят новый пост. Аж пичот.

В догонку к раскрытым ресерчерами из Group-IB подробностям кампании с использованием 0-day в WinRAR, о которых мы сообщали на прошлой неделе, на днях был представлен PoC для упомянутой CVE-2023-38831.

Тем не менее, наблюдение за кампанией, нацеленной на криптотрейдеров, продолжается, как и сама кампания, к которой в ближайшее время присовокупятся и новые инциденты с учетом последних новостей.

Но будем посмотреть.

Ресерчеры из DevSecOps Phylum обнаружили семь вредоносных пакетов в Crates, официальном репозитории пакетов для Rust, что стало вторым инцидентом после того, как в мае 2022 года Rust Security Response и команда crates сообщили о существовании вредоносного крейта rustdecimal.

По мнению ресерчеров, новые находки могут свидетельствовать о признаках подготовки к более широкой кампании. Все семь пакетов изначально были опубликованы без содержимого, а затем в течение нескольких дней получали дополнительные обновления с подозрительным кодом.

Функционал кода был направлен на тайный сбор информации о зараженных платформах, отправляя данные в Telegram-канал. Все выявленные пакеты использовали опечатки (названия, похожие на названия более популярных библиотек) для того, чтобы обманом заставить разработчиков случайно имплементировать их в свои проекты.

Полагаясь на практику наблюдения за аналогичными кампаниями, нацеленными на другие репозитории пакетов, Phylum ожидает, что в последующем злоумышленник будет отправлять обновления с более вредоносным контентом после идентификации систем, достойных заражения.

Phylum пока не предоставили никаких подробностей о злоумышленнике, но отметили о своих опасениях по поводу возможной активности северокорейских APT, которые стремятся скомпрометировать разработчиков и использовать их машины для вторжений в крупные компании или для атак на цепочки поставок.

Ведь буквально в конце июля GitHub опубликовал предупреждение о том, что северокорейские хакеры выдают себя за инженеров-программистов и просят разработчиков известных компаний работать над совместными проектами. Многие из этих проектов содержали вредоносное ПО или импортировали вредоносные пакеты npm (JavaScript). 

Поскольку Rust становится все более популярным среди компаний-разработчиков ПО, стоит ожидать аналогичного внимания к экосистеме со стороны киберпреступников.

В виду того, что в Crates используются те же «слабые» методы отправки пакетов, что и в npm и PyPI, экосистема Rust имеет неплохой потенциал для эксплуатации.

Anonymous Sudan решили отвлечься от наведения порчи на инфраструктуру Кении и вчера на целый час завалили Twitter.

В связи с этим хотим обратиться к расовым суданским хакерам на русском и арабском языках.

Товарищи сыны суданского народа! Не могли бы вы не трогать Twitter, мы там читаем новости про информационную безопасность. Спасибо!

الرفاق أبناء الشعب السوداني! هل يمكنك ألا تلمس تويتر، فنحن نقرأ أخبارًا حول أمن المعلومات هناك. شكرًا لك!

Почти год назад мы писали, как LockBit сами стали жертвой утечки. Один из разработчиков в команде вымогателей слил исходники новой версии ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика.

Наши тогдашние предположения о том, что ransomware широко расползется по киберподполью подтвердили исследователи из Лаборатории Касперского, которые отследили и изучили более сотни новых вариантов, созданных с помощью утекшего LockBit 3.0 Ransomware Builder.

По факту этот инструмент позволял любому создать свою собственную версию программы-вымогателя.

Сразу после утечки исследователи ЛК в ходе реагирования на инцидент обнаружили вторжение ransomware, которая использовала код Lockbit 3, но с совершенно другой схемой вымогательства выкупа.

Злоумышленник использовал записку о выкупе с заголовком, связанным с ранее неизвестной группой под названием NATIONAL HAZARD AGENCY.

В обновленной записке о выкупе была прямо указана сумма, подлежащая уплате за получение ключей расшифровки, а также перенаправление в службу Tox и электронную почту, в отличие от LockBit, которая, как правило, не упоминала в записке сумму и имела собственную платформу для переговоров.

Причем NATIONAL HAZARD AGENCY - далеко не единственная банда киберпреступников, которая нашла применение утекшему в сеть сборщика LockBit 3.0, среди других злоумышленников отметились, как известно, Bl00dy и Buhti.

Телеметрия Лаборатории Касперского зафиксировала в общей сложности 396 различных образцов LockBit, из которых 312 артефактов были созданы с использованием просочившихся сборщиков.

Причем в 77 образцах в записке о выкупе не упоминается LockBit. Были идентифицированы и другие образцы, созданные с использованием неизвестных билдеров, датированные июнем и июлем 2022 года.

Измененная записка о выкупе без ссылки на Lockbit или с другим контактным адресом (почта/URL), безусловно, указывает на возможное злоупотребление конструктором другими лицами, кроме «оригинального» Lockbit.

Один из крупнейших в мире провайдеров облачных и хостинговых услуг Leaseweb сообщил о восстановлении критических систем после недавнего нарушения безопасности.

Голландский облачный провайдер сообщил о проведении расследования, связанного с обнаруженными признаками аномальной активности в некоторых частях его инфраструктуры.

Заподозрив неладное, Leaseweb отключил некоторые из затронутых систем для снижения рисков безопасности.

Судя по контексту, какие-то системы все-таки затронуты и есть потерпевшие, раз компания привлекла к работе спецов Digital Forensics and Incident Response (DFIR).

Отключение некоторой части облачной инфраструктуры, привело к простою небольшого числа облачных клиентов и, как сообщает поставщик, его команда трудится над восстановлением критически важных систем, пострадавших в результате этого инцидента.

Представители Leaseweb пока отмалчиваются и не разглашают каких-либо деталей, скудно комментируя, что никакие данные о клиентах или компании не утекли и не были утеряны.

Однако один из клиентов - ATPS Online, предоставляющая ПО учета рабочего времени для организаций, все же сообщила, что стала жертвой возможной кибератаки на LeaseWeb.

Sophos X-Ops сообщает, что злоумышленник, отслеживаемый как STAC4663 и, предположительно, с умеренной уверенностью связанный с хакерской группой FIN8, использует RCE-уязвимость CVE-2023-3519 для компрометации неисправленных систем Citrix NetScaler в ходе атак на уровне домена.

CVE-2023-3519 имеет оценку CVSS: 9,8, затрагивает Citrix NetScaler ADC и NetScaler Gateway, была обнаружена как активно используемая 0-day еще в середине июля 2023 года.

Вендор выпустил обновления безопасности для нее 18 июля. Однако киберпреступники предположительно продавали эксплойт для уязвимости как минимум с 6 июля 2023 года.

2 августа Shadowserver сообщила об обнаружении 640 веб-шеллов на скомпрометированных серверах Citrix, а две недели спустя Fox-IT увеличила это число до 1952.

К середине августа более 31 000 экземпляров Citrix NetScaler оставались уязвимыми для CVE-2023-3519, то есть более чем через месяц после выхода обновления безопасности, что открывает для злоумышленников широкий горизонт возможностей в плане атак.

По мнению исследователей Sophos, новая серия атак на Citrix NetScaler является частью той же кампании, о которой Fox-IT сообщала ранее в этом месяце.

Sophos отслеживает эту кампанию с середины августа и фиксирует, что злоумышленник выполняет инъекции полезной нагрузки, использует BlueVPS, развертывает запутанные сценарии PowerShell и устанавливает веб-шеллы PHP на компьютеры жертв.

Сходство с другой атакой, которую аналитики Sophos наблюдали ранее летом, привело аналитиков к выводу, что эти две волны связаны между собой.

Полезная нагрузка, доставленная в ходе недавних атак и внедренная в wuauclt.exe или wmiprvse.exe, все еще анализируется. Тем не менее, судя по профилю злоумышленника, Sophos считает, что это часть цепочки атак с использованием ransomware BlackCat/ALPHV.

Выводы о связи с предыдущей кампанией злоумышленника основаны на обнаружении доменов, plink, BlueVPS, необычных сценариях PowerShell и безопасном копировании PuTTY.

Наконец, злоумышленники используют IP-адрес C2 (45.66.248[.]189) для размещения вредоносного ПО и второй IP-адрес C2 (85.239.53[.]49), что и в предыдущей кампании.

Sophos опубликовала IoC для этой кампании на GitHub для возможного обнаружения и защиты от угрозы, настоятельно рекомендуя применить обновления на Citrix ADC и Gateway согласно бюллетеню по безопасности поставщика.

ReliaQuest сообщают, что QakBot, SocGholish и Raspberry Robin - это три самых популярных загрузчика вредоносных ПО, на которые приходится до 80% наблюдавшихся инцидентов.

За период с 1 января по 31 июля этого года на QakBot пришлось 30% инцидентов, на SocGholish - 27% из них, а на Raspberry Robin - 23%.

По данным компании, не во всех изучаемых инцидентах фиксировалась компрометация сети, поскольку в ряде случаев загрузчик был обнаружен и нейтрализован до того, как смог вызвать серьезные проблемы.

Активный с 2009 года, QakBot (QBot или Quakbot) изначально представлял собой банковский троян, но позже превратился в загрузчик вредоносного ПО, который мог развертывать дополнительные полезные нагрузки, красть конфиденциальную информацию и обеспечивать горизонтальное перемещение.

QakBot, обычно доставлялся через фишинговые электронные письма и был связан с группой вымогателей BlackBasta, состоящей из бывших членов Conti.

Ресерчеры характеризуют QakBot как развивающуюся, постоянную угрозу, используемую для массированных атак на различные отрасли или регионы.

Его операторы изобретательны и быстро адаптируются к изменяющимся условиям, и, вероятно, продолжать проявлять активность в обозримом будущем.

SocGholish (также известный как FakeUpdates), активный как минимум с 2018 года, развертывается посредством попутных загрузок с использованием широкой сети взломанных веб-сайтов с фейковыми обновлениями.

Загрузчик был связан с Evil Corp, действовавшей как минимум с 2007 года, а также с брокером первичного доступа (IAB), известным как Exotic Lily.

В первой половине 2023 года было замечено, что операторы SocGholish проводили агрессивные атаки на водопои, используя взломанные веб-сайты крупных организаций.

Червь Raspberry Robin для Windows, впервые обнаруженный в сентябре 2021 года, в основном распространяется через съемные устройства, такие как USB-накопители, и был связан с различными злоумышленниками, включая Evil Corp и Silence.

Было замечено, что Raspberry Robin использует широкий спектр семейств ransomware и вредоносных ПО, включая Cl0p, LockBit, TrueBot и другие, в атаках, нацеленных на финучреждения, правительственные организации, а также телекоммуникационные и производственные компании, дислоцированные, преимущественно, в Европе.

По данным ReliaQuest, в дополнение к этим трем загрузчикам в течение первых семи месяцев года высокой активностью также пользовались Gootloader, Chromeloader, Guloader и Ursnif.

Исследователи watchTowr Labs опубликовали PoC-эксплойт для уязвимостей в межсетевых экранах Juniper SRX, позволяющий реализовать RCE в JunOS.

В середине августа Juniper устранила CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847 средней степени серьезности (CVSS 5.3), затрагивающие компонент J-Web ОС Juniper Networks Junos на сериях SRX и EX.

Помимо исправления в качестве обходного пути компания также предложила отключить J-Web или ограничить доступ только доверенным хостам.

Однако объединив уязвимости, неаутентифицированный сетевой злоумышленник может получить возможность удаленно выполнять код в JunOS на уязвимых устройствах.

Исследователи watchTowr Labs воспользовались уязвимостью загрузки перед аутентификацией (CVE-2023-36846) для доставки произвольного PHP-файла в ограниченный каталог со случайным именем файла.

Затем они воспользовались той же уязвимой функцией для загрузки файла конфигурации PHP, который использует указанный выше файл и загружает его с помощью директивы auto_prepend_file.

Поскольку все переменные среды можно установить с помощью HTTP-запросов, исследователи воспользовались CVE-2023-36845, чтобы перезаписать переменную среды, PHPRC загрузить файл конфигурации PHP и запустить выполнение первоначально загруженного файла PHP.

Кроме того, исследователи watchTowr также представили подробное последовательное описание процесса воспроизведения, объединения и эксплуатации этих уязвимостей.

Учитывая публичную доступность PoC, простоту эксплуатации и привилегированное положение, которое устройства JunOS занимают в сети, watchTowr предупреждают о неизбежной широкомасштабной эксплуатации вышеупомянутых проблем.

Обновленная версия вредоносного ботнета под названием KmsdBot теперь нацелена на IoT-устройства c расширенными возможностями и поверхностью атаки.

К таким выводам пришли исследователи Akamai, отметившие в результате проведенного анализа, что бинарный файл теперь включает поддержку сканирования Telnet и большего количества архитектур ЦП.

Последняя итерация, наблюдаемая с 16 июля 2023 года, произошла через несколько месяцев после того, как выяснилось, что ботнет реализуется в качестве DDoS-услуг в киберподполье.

При этом он активно поддерживается, в связи с чем обеспечивает высокую эффективность в реальных атаках.

KmsdBot был впервые изучен и задокументирован в ноябре 2022 года.

Вредоносное ПО на базе Golang нацелено на различные компании, начиная от игровых компаний, провайдеров облачного хостинга и заканчивая брендами роскошных автомобилей, но с тем пор и использовался в атаках на румынские правительственные и испанские образовательные сайты.

Вредоносное ПО имеет функционал сканирования широких диапазонов IP-адресов на предмет открытых портов SSH и брута по спискам паролей, загруженным с сервера, контролируемого злоумышленниками.

Новые обновления включают сканирование Telnet и проверки легитимных служб telnet, а также позволяют охватить больше архитектур ЦП, обычно встречающихся в устройствах IoT.

Обновленные возможности были замечены с середины июля 2023 года.

Как и сканер SSH, сканер Telnet вызывает функцию, которая генерирует случайный IP-адрес, а затем пытается подключиться к порту 23 по этому IP-адресу.

Однако сканер Telnet не останавливается на простом прослушивании порта, проверяя также содержит ли принимающий буфер данные.

Атака на Telnet осуществляется путем загрузки текстового файла (telnet.txt), содержащего список часто используемых ненадежных паролей и их комбинаций для широкого спектра приложений, в основном с полагаясь на то, что многие устройства IoT имеют дефолтные учетные данные.

Устойчивая кампания по распространению вредоносного ПО KmsdBot показывает, что устройства Интернета вещей широко распространены в Интернете и уязвимы, что делает их привлекательными целями для создания сети зараженных систем.

С технической точки зрения добавление возможностей сканирования telnet предполагает расширение поверхности атаки ботнета, позволяя ему атаковать более широкий круг устройств.

Более того, по мере того, как вредоносное ПО развивается и добавляет поддержку большего количества архитектур ЦП, оно представляет собой серьезную угрозу безопасности устройств, подключенных к Интернету, что усиливает необходимость принятия мер безопасности и регулярных обновлений.

А каким файлообменником ты пользуешься? Если Skype - у нас для тебя плохие новости.

Журналисты рассказали, как злоумышленники могут узнать твой IP-адрес в Skype.

О проблеме сообщил независимый исследователь Йосси, обнаруживший, что для реализации коварного замысла достаточно отправить жертве ссылку в мобильном приложении и дождаться пока цель просто откроет сообщение.

Хуки с деаноном юзеров Skype далеко не ноу-хау и, вероятно, еще кто-то помнит про различные skype resolver’ы, когда айпишник можно было установить и безо всяких ссылок.

Но, то были лохматые времена и касались пользователей десктоп приложений, а теперь проблема, как раз таки затрагивает юзеров мобильной версии приложения Skype.

Потенциально знание IP-адреса может позволить злоумышленникам найти физическое местоположение цели, что создает некоторый риск их приватности, безопасности и благополучия.

Специалист сообщил о проблеме в Microsoft в начале месяца, но, похоже, компания преуменьшила значение проблемы и даже не ответила о планах устранения недостатка.

Однако после того, как 404 Media связались с Microsoft для комментария, IT-гигант объявил, что планирует исправить проблему в предстоящем обновлении.

На самом деле вычислить по IP не самое простое дело, да еще и по мобильному, который спрятан за NAT-ом, но в 404 Media накинули, что «атака может представлять серьезную угрозу для активистов, политических диссидентов, журналистов и тех, кто является целью киберпреступников».

Как сообщалось, проблему можно легко эксплуатировать, манипулируя определенным параметром, связанным с ссылкой, но делиться деталями атаки не стали, поскольку недостаток еще не исправлен.

Американские силовики рапортуют о нейтрализации серверной инфраструктуры ботнета Qakbot, что позволило им произвести массовое удаление вредоносного ПО из зараженных систем.

Также известный как Qbot и Pinkslipbot ботнет активен с 2008 года, действуя изначально как банковский троян.

С середины 2010-х годов обрел функционал загрузчика, заражая системы в ходе спам-кампаний, реализуя затем доступ к зараженным системам другим киберпреступникам.

За последние три года Qakbot служил начальной точкой входа для многих ransomware, включая Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta.

Как сообщает ФБР, в операции, получившей условное наименование Duck Hunt, принимали участие спецслужбы Европы (Франции, Германии, Нидерландов, Великобритании, Румынии и Латвии), которые помогли американским агентам получить доступ к компьютерам администратора Qakbot.

И впоследствии составить карту серверной инфраструктуры и захватить десятки серверов, находившихся в управлении операторов Qakbot, а затем уже перенаправить трафик в системы бюро.

По данным силовиков, Qakbot заразил более 700 000 систем по всему миру, из которых более 200 000 были расположены в США.

Все это позволило идентифицировать все зараженные системы Qakbot и доставить в зараженные системы разработанный ФБР Windows DLL (или модуль удаления Qakbot).

Как отметили SecureWorks, этот пользовательский DLL-файл выдал QPCMD_BOT_SHUTDOWN команду вредоносному ПО Qakbot, работающему на зараженных устройствах, что привело к прекращению работы вредоносного процесса.

Техническую поддержку на этом этапе ФБР оказывали Zscaler, CISA, Microsoft, Shadowserver Foundation и Have I Been Pwned.

ФБР отдельно пояснило, что инструмент удаления был одобрен судьей с очень ограниченными возможностями - только для удаления вредоносного ПО с зараженных устройств (ну, ну).

Помило перехвата инфраструктуры Минюст США также принял меры к конфискации у банды Qakbot 8,6 млн. дол., а полиция Нидерландов изъяла 7,6 млрд. учетных данных с захваченных серверов.

Пока что операция ограничилась конфискацией, информацией об арестах или официальных обвинениях ФБР не предоставила, но это не исключает того, что они могли иметь место. Видимо, с задержанными могут проводитсья негласные оперативные мероприятия.

Хотя в это слабо верится. Как помниться, аналогичным образом операции проводились в 2020 и 2021 годах в отношении Emotet и Trickbot, которые после этого смогли вернуться в рабочие рельсы и продолжают эволюционировать.

Но для медали от Конгресса США такой победы офицерам из ФБР будет вполне достаточно, а что там за модуль - это уже совсем другая история. Будем посмотреть.

Как сообщают Sky News, данные 47 000 сотрудников столичной полиции Великобритании были украдены из систем одного из ее поставщиков.

Столичная полиция находится в состоянии повышенной готовности после серьезного нарушения безопасности, в результате которого были взломаны данные офицеров и штабов.

Согласно заявлению Метрополитена, нарушение произошло после того, как киберпреступникам удалось проникнуть в ИТ-системы подрядчика, ответственного за печать ордеров и пропусков сотрудников.

Представитель столичной полиции подтвердил журналистам Sky News инцидент и отметил, что любая потенциальная утечка информации вызывает у сотрудников ведомства невероятное беспокойство и гнев.

По данным Метрополитена, у компании-подрядчика был доступ к именам, званиям, фотографиям, уровням проверки и размерам заработной платы офицеров и персонала. При этом она не хранила личную информацию, такую как адреса, номера телефонов или финансовые данные.

По тревоге подняли даже Национальное агентство по борьбе с преступностью, которое проводит оценку возможных рисков попадания списков в руки террористов или организованных преступных групп.

Офицерам же порекомендовали сохранять бдительность.

Новый инцидент стал своеобразным продолжением недавней истории, когда сами английские копы слили в сеть данные на своих сотрудников, а затем аналогичным образом и сведения о делах и расследованиях, так что досаду и горечь офицеров понять можно.

Вообще же англичанам в последние дни достается особенно сильно.

Пару дней назад, по непонятным техническим причинам Британская авиадиспетчерская служба ограничила все полеты, что вызвало массовые задержки и отмены рейсов для тысяч пассажиров в Великобритании, а также других аэропортах в ЕС и за рубежом.

Японский CERT сообщает о новой атаке MalDoc в PDF, которая обходит обнаружение, встраивая вредоносные Word-файлы в PDF-файлы.

Метод достаточно хитрый и был обнаружен в июле 2023 года.

Хитрость кроется в встроенном вредоносном файле, который имеет магические числа и файловую структуру PDF, однако его также можно открыть с помощью Microsoft Office.

Собственно, при открытии файла .doc в Microsoft Word он ведет себя вредоносно, причем большинство сканирующих движков и инструментов распознают его как PDF.

Обычно злоумышленники используют такие техники, чтобы уклоняться от обнаружения или запутывания инструментов анализа, поскольку такие файлы могут казаться безвредными в одном формате, скрывая вредоносный код в другом.

В данном случае PDF-документ содержит Word-документ с макросом VBS для загрузки и установки вредоносного файла MSI, если он будет открыт как doc-файл в Microsoft Office.

Однако JPCERT не раскрыла подробностей о том, какой тип вредоносного ПО устанавливается.

Сам метод встраивания одного типа файла в другой не является новым, поскольку такие фичи хорошо документированы, но MalDoc отличается тем, что дает возможность уклоняться от обнаружения традиционными инструментами анализа PDF, такими как 'pdfid' или другие, которые будут исследовать только внешний слой файла, являющийся легитимной структурой в PDF.

В своем сообщении JPCERT предложил несколько способов обнаружения и предотвращения атаки MalDoc, одним из которых является использование инструментов анализа Word для обнаружения встроенных вредоносных файлов.

Ну и куда без классических рекомендаций с обновлением антивирусных средств и ПО для блокировки макросов в Word.