Главред
Впервые о проблеме CVE-2018-8174 стало известно еще в конце апреля 2018 года. Тогда специалисты Qihoo 360 обнаружили, что северокорейские правительственные хакеры эксплуатируют данный баг для атак на пользователей Internet Explorer. На тот момент проблема была уязвимостью нулевого дня.
В итоге уязвимость была устранена патчами из состава майского «вторника обновлений». После этого ИБ-эксперты опубликовали подробные доклады о новой проблеме. Так, технические отчеты представили эксперты Qihoo 360 (1, 2, 3), «Лаборатории Касперского» и Malwarebytes. Практически одновременно с этим на GitHub появился proof-of-concept эксплоит, и вскоре соответствующий модуль был добавлен в Metasploit.
К сожалению, публикация подробностей о проблеме и релиз PoC-эксплоита обычно приносят пользу не только специалистам по безопасности, но и злоумышленникам. Так произошло и на этот раз.
Специалисты компании Cobalt, известной своими масштабными атаками на финансовые учреждения.
Специалисты сообщают, что авторы RIG (а точнее их клиенты, оплачивающие аренду инструмента) вмешиваются в трафик легитимных сайтов и переадресовывают посетителей на страницы, где размещается RIG. После этого эксплоит-кит пытается заразить пользователей дроппером Smoke Loader, который распространяет самую разную малварь, и для этого RIG эксплуатирует свежую уязвимость в VBScript.
Эксперты считают, что использование этого бага практически вдохнуло в RIG новую жизнь. Дело в том, что до появления CVE-2018-8174 некогда популярный и очень опасный набор эксплоитов не обновлялся более года. В последнее время ИБ-специалиты в целом отмечают значительное снижение популярности всех наборов эксплоитов. Дело в том, что использовать их становится все сложнее, ведь современные браузеры уже не так просто скомпрометировать, особенно после массового отказа от Flash и перехода на HTML5. Кроме того, на работу эксплоит-кита RIG значительно повлияла операция Shadowfall, проведенная рядом компаний и независимых ИБ-специалистов летом 2017 года.
Оставить комментарий