Záplata díry po písečném červu je aktivně obcházena

ikona střetu black hat a white hat

Útok na zranitelnost zneužívanou skupinou Sandworm dostal novou podobu. Místo stahování útočného kódu je malware přítomen přímo v infikovaných prezentacích PowerPointu.

Pro SOOM.cz Daniel Beránek:

Útočníci obcházejí záplatu díry písečného červa

Ačkoliv Microsoft záplatoval díru nultého dne zneužívanou skupinou SandWorm minulé Patch Tuesday, útočníci objevili způsob, jak tuto záplatu obejít.

Stejně jako při útocích Sandwormu jsou k útoku opět využívány infikované prezentace v PowerPointu zasílané v emailech, popisují situaci výzkumníci ze SymantecÚtočný kód skrývá malware typu payload a to sice Trojan.Taidoor a Backdoor.Darkmoon (také známý jako Poison Ivy).

U Trojan.Taidoor byla nalezena spojitost s kyberšpionážní skupinou, která mj. nedávno napadla tchajwanské vládní a vzdělávací instituce. Backdoor.Darkmoon je velmi rozšířený backdoor – tato konkrétní varianta byla ovšem zaznamenána ještě předtím, než byly objeveny útoky skupiny Sandworm.

Útočné přílohy se tentokráte liší: zatímco ty zneužívající první zranitelnosti zahrnovaly OLE komponenty odkazující na vnější soubory, ty novější přímo obsahují útočný kód, popisuje Symantec. Výhodou novějších útoků je, že nevyžadují nové připojení počítače k internetu, a tak se vlastně vyvarují detekce ze strany Network Intrusion Prevention System, doplňuje Ronnie Giagone, analytik hrozeb z Trend Micro.

Podle výzkumníků z Trend Micro a iSight Partners původní útočníci ze skupiny Sandworm napadli především průmyslové kontrolní systémy, WinCC, Siemens HMI a software dispečerského řízení a sběru dat.

Zdroje