25 ноября 2016

Необычный эксплойт для банков Азии

Бизнес

В сентябре 2016 года мы зафиксировали ряд атак, направленных на цели, расположенные в Африке и Азии, в том числе на госучреждения, а также на несколько банков. Объединяло их использование рассылаемого по электронной почте эксплойта нулевого дня для InPage — программного пакета, предназначенного для работы с текстами на фарси, урду, пушту и арабском языке.

office_buildings_connections_cybersecurity

Письма, направленные целям в Мьянме, Шри-Ланке и Уганде, содержали несколько зараженных документов в форматах Microsoft Word (.doc и .docx) и InPage (.inp). Применявшиеся эксплойты для Word уже хорошо известны, на обновленном ПО они неработоспособны. А вот эксплойт для InPage действует и на последней версии программы.

Редактор InPage предназначен в основном для верстки документов. Он широко используется в Пакистане, Индии и на Среднем Востоке. Согласно сайту производителя программы, у нее есть пользователи в Европе, США и Великобритании — по всей видимости, преимущественно среди мигрантов. Примечательно, что это первый обнаруженный нами эксплойт для InPage. Продукты «Лаборатории Касперского» реагируют на встроенный шелл-код и обозначают его как HEUR:Exploit.Win32.Generic.

Однако это не первый случай эксплуатации уязвимости в локально распространенных программах. Ярким примером был эксплойт для Hangul Word Processor, южнокорейского текстового редактора, примененный в рамках кампании Icefog («Ледяной туман»). У такого подхода есть ряд очевидных преимуществ:

  • Эксплуатация локального ПО позволяет контролировать территорию действия кампании, не допуская слишком широкого распространения вредоносов. Это имеет смысл, если злоумышленники стремятся максимально избежать внимания специалистов по кибербезопасности.
  • Использование программного обеспечения, распространенного в конкретных отраслях, позволяет еще более сузить фокус атаки, благодаря чему злоумышленникам проще управлять вредоносной кампанией. В случае InPage это учреждения, работающие с версткой, и в числе прочих банки.
  • Эксплойты нулевого дня для малораспространенного ПО могут оставаться действенными много дольше, нежели, например, эксплойты для популярных программ. Мало того что об их существовании становится известно с большим опозданием (как, например, в данном случае), так еще и разработчики уязвимого ПО зачастую не имеют налаженных процессов закрытия уязвимостей. К примеру, «Лаборатория Касперского» известила разработчиков InPage, но ни патча, ни какой-либо другой реакции от них до сих пор не последовало.

Несмотря на то что эксплуатируемая уязвимость до сих пор не закрыта, пользователи продуктов «Лаборатории Касперского» защищены от этой атаки благодаря используемому в продуктах эвристическому анализу. Тем не менее такой подход крайне опасен, так как подобные эксплойты могут оставаться незамеченными на протяжении целых лет. Чтобы оставаться в безопасности, соблюдайте ряд общих правил:

  • своевременно обновляйте все используемое программное обеспечение, включая операционные системы;
  • ограничивайте полномочия пользователей в операционной системе;
  • в критических точках применяйте технологии «белых списков» и политики Default Deny;
  • применяйте защитное программное обеспечение, обладающее функциями эвристического анализа и облачной проверки файлов;
  • изучайте аналитические отчеты о новейших целевых атаках;
  • держите свое подразделение информационной безопасности в форме: современные методы ИБ позволяют обнаруживать в том числе и неизвестные угрозы;
  • регулярно проводите обучение персонала основам информационной безопасности — для защиты от проникновения зачастую достаточно, чтобы сотрудник поостерегся открывать присланный по почте файл.

Чтобы подписаться на аналитические отчеты об APT-угрозах от «Лаборатории Касперского», заполните вот эту форму: