Киберпреступная группировка TA558 запустила новую волну атак, в которых вредоносный код прячется в графическом изображении.

Атака через графическое изображение (стеганографию) позволяет атакующим прятать данные внутри обычных файлов. В случае успешной реализации атаки злоумышленникам удается усыпить бдительность не только целевого пользователя, но и установленных защитных программ. Исследователи зафиксировали более 320 новых кибератак, затронувших компании по всему миру.

Комбинация хакеров начинается с письма, содержащего вложение в формате Excel и Word. В случае запуска – вредоносный документ будет пытаться эксплуатировать старую уязвимость под идентификатором CVE-2017-11882, позволяющую запускать вредоносный код без взаимодействия с пользователем. Если на атакованном компьютере не установлен патч для CVE-2017-11882, эксплойт загружает скрипт Visual Basic Script (VBS), а последний – получает изображение в формате JPG, в которое вставлен зашифрованный base-64 пейлоад.

«Атаки с помощью элементов стеганографии буду проводиться и в дальнейшем, потому что сама схема доставки вредоносного кода выглядит надежной, простой и привлекательной для киберпреступников. Для организации таких атак используются проверенные и понятные элементы – фишинговые письма с правдоподобной историей и уязвимости, которым уже много лет. Обнаружение таких атак – рутинная задача для служб ИБ, особенно если они оснащены решением вроде Efros Defense Operations, которое сообщит об уязвимых хостах задолго до того, как будет организована подобная атака», – сказал руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.