Китайская APT-группировка TA413 эксплуатирует уязвимость для атак на свои излюбленные мишени – тибетцев.

Предположительно связанная с правительством КНР киберпреступная группировка активно эксплуатирует уязвимость нулевого дня в Microsoft Office, известную как Follina, для удаленного выполнения кода на атакуемых Windows-системах.

Уязвимость CVE-2022-30190 присутствует в утилите Microsoft Windows Support Diagnostic Tool (MSDT) и затрагивает все поддерживаемые Microsoft клиентские и серверные версии Windows.

Как сообщают специалисты ИБ-компании Proofpoint, китайская APT-группировка TA413 эксплуатирует Follina для атак на свои излюбленные мишени – тибетцев. Выдавая себя за отдел по защите прав женщин Центральной тибетской администрации (с помощью домена tibet-gov.web[.]app), злоумышленники распространяют Zip-архивы с вредоносными документами Word. Когда жертва открывает документ или его превью, через протокол MSDT на системе жертвы выполняется вредоносный код.

Исследователь безопасности MalwareHunterTeam также обнаружил документы DOCX с именами файлов на китайском языке, использующиеся для установки троянов для похищения данных через http://coolrat[.]xyz.

Успешная эксплуатация уязвимости позволяет злоумышленникам запускать произвольный код с привилегиями вызывающего приложения, поясняется в руководстве по исправлению проблемы от Microsoft. Благодаря этому они могут устанавливать программы, просматривать, модифицировать и удалять данные, а также создавать новые учетные записи в контексте привилегий пользователя.

Администраторы могут заблокировать попытки эксплуатации уязвимости, отключив протокол MSDT, использующийся хакерами для запуска инструмента диагностики и выполнения кода на уязвимой системе. Также рекомендуется отключить предварительный просмотр в Проводнике Windows, поскольку это является еще одним вектором атаки.

Источник: securitylab