Китайские хакеры используют новую уязвимость
Связанные с правительством Китая хакеры уже используют недавно обнаруженную уязвимость в Microsoft Office.
Согласно информации, опубликованной компанией Proofpoint в Twitter, хакерская организация, известная как TA413, использовала уязвимость во вредоносных документах Word, предположительно выпущенных Центральной тибетской администрацией, тибетским правительством в изгнании, расположенным в Дхарамсале, Индия. TA413 – это APT, или «продвинутая постоянная угроза», которая ранее была замечена в атаках на тибетское население в изгнании.
В целом, китайские хакеры имеют послужной список атак на тибетцев, используя дыры в безопасности ПО. В 2019 году компания Citizen Lab опубликовала отчет о том, что обширные и подробные шпионские программы нацелены на тибетских политических деятелей, в том числе через эксплойты в браузере Android и вредоносные ссылки, передаваемые через WhatsApp. Расширения браузеров также использовались в качестве оружия: Proofpoint ранее обнаружила развертывание вредоносного дополнения Firefox для подслушивания тибетских активистов.
Теперь Microsoft официально признала уязвимость, получившую название CVE-2022-30190, хотя есть утверждения, что предыдущие попытки предупредить Microsoft об этой же уязвимости были отклонены.
Группа исследователей безопасности, известная как Nao Sec, 27 мая обратилась в Twitter, чтобы обсудить образец, предоставленный веб-службе сканирования вредоносного ПО VirusTotal. Уязвимость в Microsoft Word впервые привлекла значительное внимание. Согласно отчету Nao Sec, вредоносный код рассылался с помощью документов Microsoft Word, которые затем использовались для выполнения инструкций через PowerShell, сложный инструмент управления системой для Windows.
Согласно блогу безопасности Microsoft, злоумышленник, использующий уязвимость, может устанавливать программы, получать доступ, изменять или удалять данные и даже создавать новые учетные записи пользователей на взломанной системе. Microsoft еще не выпустила официальное исправление, но предоставила шаги по устранению уязвимости, включая ручное отключение функции загрузки URL-адресов инструмента MSDT. Потенциальная поверхность атаки для раскрытия информации обширна из-за широкого использования Microsoft Office и сопутствующих продуктов.
