Ukraine bị tấn công mạng khai thác lỗ hổng Microsoft Office trong 7 năm

   Các nhà nghiên cứu an ninh mạng đã phát hiện ra một hoạt động có chủ đích chống lại Ukraine đã được tìm thấy tận dụng một lỗ hổng gần bảy năm tuổi trong Microsoft Office để cung cấp Cobalt Strike trên các hệ thống bị xâm nhập. Chuỗi tấn công, diễn ra vào cuối năm 2023 theo Deep Instinct, sử dụng tệp trình chiếu PowerPoint ("signal-2023-12-20-160512.ppsx") làm điểm khởi đầu, với tên tệp ngụ ý rằng nó có thể đã được chia sẻ qua ứng dụng nhắn tin tức thời Signal. Điều đó đã nói, không có bằng chứng thực tế nào cho thấy tệp PPSX được phân phối theo cách này, mặc dù Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã phát hiện ra  hai chiến dịch khác nhau  đã sử dụng  ứng dụng nhắn tin  làm  vectơ phân phối phần mềm độc hại  trong quá khứ. Mới tuần trước, cơ quan này  tiết lộ  rằng các lực lượng vũ trang Ukraine đang ngày càng trở thành mục tiêu của nhóm UAC-0184 thông qua các nền tảng nhắn tin và hẹn hò để phục vụ phần mềm độc hại như  HijackLoader  (hay còn gọi là  GHOSTPULSE  và  SHADOWLADDER),   XWorm  và  Remcos RAT,  cũng như các chương trình mã nguồn mở như  sigtop  và  tusc  để trích xuất dữ liệu từ máy tính. Tệp PPSX (trình chiếu PowerPoint) dường như là một hướng dẫn sử dụng cũ của Quân đội Mỹ về lưỡi rà phá bom mìn (MCB) cho xe tăng", nhà nghiên cứu bảo mật Ivan Kosarev  cho biết . "Tệp PPSX bao gồm mối quan hệ từ xa với đối tượng OLE bên ngoài." Điều này liên quan đến việc khai thác  CVE-2017-8570  (điểm CVSS: 7.8), một lỗi thực thi mã từ xa hiện đã được vá trong Office có thể cho phép kẻ tấn công thực hiện các hành động tùy ý khi thuyết phục nạn nhân mở một tệp được chế tạo đặc biệt, để tải tập lệnh từ xa được lưu trữ trên weavesilk [.] không gian. Tập lệnh bị xáo trộn nặng nề sau đó khởi chạy một tệp HTML chứa mã JavaScript, do đó, thiết lập sự tồn tại trên máy chủ thông qua Windows Registry và giảm tải trọng giai đoạn tiếp theo mạo danh máy khách Cisco AnyConnect VPN. Tải trọng bao gồm một thư viện liên kết động (DLL) cuối cùng tiêm  Cobalt Strike Beacon  bị bẻ khóa, một  công cụ kiểm tra bút hợp pháp , trực tiếp vào bộ nhớ hệ thống và chờ hướng dẫn thêm từ máy chủ chỉ huy và kiểm soát (C2) ("petapixel [.] vui vẻ"). DLL cũng đóng gói các tính năng để kiểm tra xem nó có được thực thi trong máy ảo hay không và tránh bị phát hiện bởi phần mềm bảo mật. Deep Instinct cho biết họ không thể liên kết các cuộc tấn công với một tác nhân hoặc nhóm đe dọa cụ thể cũng như không loại trừ khả năng diễn tập nhóm đỏ. Cũng không rõ mục tiêu cuối cùng chính xác của cuộc xâm nhập. Sandworm là một  nhóm đe dọa sung mãn và có khả năng thích ứng cao  liên kết với Đơn vị 74455 trong Tổng cục Chính của Bộ Tổng tham mưu các lực lượng vũ trang Liên bang Nga (GRU). Nó được biết là đã hoạt động ít nhất từ năm 2009, với kẻ thù cũng gắn liền với ba nhân vật hacktivist hack và rò rỉ như  XakNet Team, CyberArmyofRussia_Reborn  và  Solntsepek . "Được tài trợ bởi tình báo quân sự Nga, APT44 là một tác nhân đe dọa năng động và trưởng thành về mặt hoạt động, tích cực tham gia vào toàn bộ các hoạt động gián điệp, tấn công và  gây ảnh hưởng ", ông Mandiant  nói , mô tả mối đe dọa dai dẳng tiên tiến (APT) tham gia vào nỗ lực đa hướng để giúp Nga giành được lợi thế thời chiến kể từ tháng 1/2022.