TTL OSINT

MerkSpy: Использует CVE-2021-40444 для проникновения в системы

Недавно лаборатория FortiGuard обнаружила атаку, использующую уязвимость CVE-2021-40444 в Microsoft Office для развертывания шпионской программы "MerkSpy". Атака начинается с вводящего в заблуждение документа Microsoft Word, который при открытии запускает использование уязвимости. Вредоносный документ загружает HTML-файл "olerender.html", который проверяет версию операционной системы и извлекает соответствующий шелл-код. Шелл-код выполняет функцию загрузчика, извлекая файл с именем "Обновление Google" с удаленного сервера. Этот файл содержит основную вредоносную информацию, которая тщательно закодирована, чтобы избежать обнаружения. Извлеченная полезная информация защищена с помощью VMProtect и внедряет шпионское ПО Merc Spy в важные системные процессы, позволяя ему получать конфиденциальную информацию и отслеживать действия пользователей. Программа-шпион обеспечивает устойчивость, маскируясь под "Google Update" и добавляя запись реестра для "GoogleUpdate.exe" в "Программное обеспечение\Microsoft\Windows\Текущая версия\Выполнить". В этом отчете подчеркивается важность понимания цепочек таких атак для усиления защиты защита от кибератак.< / p>

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.fortinet.com/blog/threat-research/merkspy-exploiting-cve-2021-40444-to-infiltrate-systems

Выборочные показатели Compromise:

• dd369262074466ce937b52c0acd75abad112e395f353072ae11e3e888ac132a8
• 0ffadb53f9624950dea0e07fcffcc31404299230735746ca43d4db05e4d708c6
• 569f6cd88806d9db9e92a579dea7a9241352d900f53ff7fe241b0006ba3f0e22
• 95a3380f322f352cf7370c5af47f20b26238d96c3ad57b6bc972776cc294389a
• 6cdc2355cf07a240e78459dd4dd32e26210e22bf5e4a15ea08a984a5d9241067

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал