Неизвестный субъект угрозы, спонсируемый государством, провел новую кибератаку на госучреждения Европы и США. Компания Proofpoint заявила, что заблокировала попытки использования уязвимости удаленного выполнения кода CVE-2022-30190 c оценкой CVSS 7,8. Целям было отправлено больше 1000 фишинговых сообщений, содержащих документ-приманку.
«Эта кампания маскировалась под повышение зарплаты и использовала RTF с полезной нагрузкой эксплойта, загруженной с 45.76.53[.]253», — написала компания в Twitter .
Полезная нагрузка в виде сценария PowerShell имеет кодировку Base64 и функционирует как загрузчик для получения второго сценария PowerShell с удаленного сервера с именем «seller-notification[.]live».
«Этот скрипт проверяет наличие виртуализации , крадет информацию из локальных браузеров, почтовых клиентов и файловых служб, проводит разведку устройства, а затем архивирует данные для эксфильтрации по адресу 45.77.156[.]179», — добавили эксперты Proofpoint.
Фишинговая кампания не связана с определенной группировкой, но она организована с поддержкой государства на основе специфики атаки и широких разведывательных возможностей полезной нагрузки PowerShell.
«Обширная разведка, проведенная вторым сценарием PowerShell, демонстрирует, что злоумышленник заинтересован большим количеством ПО на компьютере цели. Атака на европейское правительство и местные органы власти США заставила нас предположить, что эта кампания поддерживается государством», — добавила Proofpoint.
Уязвимость CVE-2022-30190
под названием Follina использует схему URI протокола «ms-msdt» для удаленного управления целевыми устройствами и до сих пор остается неисправленной. После обнаружения уязвимости исследователем Microsoft призвала клиентов отключить протокол , чтобы предотвратить вектор атаки. Также уязвимость уже использовалась для атак на пользователей России, Беларуси и Тибета .
Источник: SecurityLab