Как сообщают ИБ-эксперты из Reversing Labs, уязвимость в Microsoft Equation, которая дает возможность выполнять вредоносный код скрытно от пользователя, активно применяется хакерской группой Cobalt.
Кибергруппировка Cobalt получила известность благодаря атакам на банкоматы и европейские финансовые учреждения. Хотя обычно русскоязычные хакеры избегают стран постсоветского пространства, Cobalt, вероятнее всего, испытывает в данном регионе новые техники и вредоносные программы. В августе этого года от действий хакеров из Cobalt пострадало около 250 компаний, включая банки, биржи, инвестиционные фонды и страховые фирмы.
Как утверждают специалисты, сейчас кибергруппировка Cobalt использует уязвимость для заражения вредоносными программами компьютеров жертв. Так, Cobalt занимается распространением вредоносных RTF-документов, которые содержат эксплоит для данной уязвимости. Прежде всего, целями хакеров становились богатые и высокопоставленные люди.
Эксперты сообщают, что кибергруппировка начала работать с этой уязвимостью достаточно оперативно, что может быть вызвано скорой публикацией 4 PoC-эксплоитов (через несколько недель после релиза патча).
По информации Reversing Labs, сейчас хакеры осуществляют рассылку электронных писем с вложенным вредоносным RTF-документом, который содержит эксплоит для загрузки дополнительного программного обеспечения. Инфицирование проходит в несколько этапов и в результате приводит к установке на устройство жертвы вредоносной DLL-библиотеки. Данный компонент экспертам еще предстоит детально проанализировать.
