Происходят кибератаки на государственные органы с использованием вредоносного программного обеспечения Pterodo хакерской группировки Armageddon/Gamaredon, которое связывают с правительством РФ, сообщил CERT-UA.
Для заражения систем используются файлы «Microsoft Office», которые используют макросы или уже известные уязвимости. Так, например, в файлах, которые исследовались CERT-UA, активно используется известная уязвимость CVE-2017-0199.
Особенностью этих кибератак является то, что они распространяются через систему электронного документооборота на базе программного обеспечения «АСКОД», которую использует большое количество организаций Украины.
Сценарий атаки следующий.
Злоумышленники присылают инфицированные документы в организацию, которая использует «АСКОД». Для этого могут использоваться или скомпрометированные учетные записи пользователей «АСКОД», или пользователи с зараженных Pterodo компьютеров сами отсылают инфицированные документы.
Принцип работы «АСКОД» такой, что при конвертации документа на сервере организации, в зависимости от конфигурации может использоваться программное обеспечение «Microsoft Office». При таком использовании «Microsoft Office», «АСКОД» получает доступ к командной строке с правами администратора и открывает документ с помощью WINWORD.EXE. Если на сервере используется необновленная версия «Microsoft Office», которая содержит уязвимости или в ней разрешено использование макросов, документ с ВПО запустится на сервере, использует уязвимость или выполнит макросы и инфицирует серверную систему.
Использование в системах электронного документооборота на рабочих станциях или серверах необновленной/нелицензионных версий «Microsoft Office», и отсутствие установленного антивирусного программного обеспечения является потенциальной критической угрозой, которая сейчас используется злоумышленниками для заражения серверов, на которых установлен «АСКОД».
Если Вы используете «АСКОД» рекомендуем проверить версии программного обеспечения, которое используется для его работы, особенно «Microsoft Office», обновите его до актуальной версии. Также, настройте на сервере работу антивирусного программного обеспечения.
При обнаружении подозрительной активности на серверах «АСКОД» просим сообщать CERT-UA на почту
Новость с детальным анализом вредоносного программного обеспечения Pterodo будет опубликована позже на сайте cert.gov.ua.
Индикаторы компрометации
CVE-2017-0199 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199)
IP:
109.68.212 [.] 97
188.225.37 [.] 128