APT-группы из Китая, России и Индии вооружились новым методом атак

Киберпреступные APT-группировки из Китая, России и Индии, применили новый метод атак, получившую название RTF Template Injection («Внедрение шаблона RTF»). Новый подход позволил преступникам осуществлять более сложные атаки и лучше избегать обнаружения.

Атака не является новой самой по себе, а представляет разновидность классической атаки на основе шаблона, которая была известна в течение многих лет. Метод основан на функции Microsoft Office, с помощью которой пользователи могут создавать документ на основе предопределенного шаблон. Шаблоны могут храниться локально или загружаться с удаленного сервера в ходе атак, известных как remote template injections («внедрение удаленных шаблонов»).

Злоумышленники могут отправлять вредоносные файлы Microsoft Office, например, DOC, XLS или PPT, потенциальным жертвам. Файлы кажутся безвредными, но на самом деле загружают вредоносный код с помощью функции шаблона, когда приложению Microsoft Office необходимо отобразить содержимое.

По словам специалистов из компании Proofpoint, если злоумышленники использовали в ходе данных атак файлы Microsoft Word, то теперь им на смену пришли файлы Windows RTF, поддерживающие возможность упорядочивания своего содержимого с помощью шаблона на удаленном URL-адресе.

Как отметили эксперты, новый метод взяли на вооружение три APT-группировки — TA423, Gamaredon и DoNoT. Первыми подобные атаки начали осуществлять DoNot и TA423, начавшие использовать RTF-документы с вредоносными шаблонами еще в марте нынешнего года.

«Хотя этот метод в настоящее время используется ограниченным числом APT-группировок с разной степенью сложности атак, эффективность метода в сочетании с простотой использования, вероятно, будет способствовать его дальнейшему распространению в ландшафте угроз», — отметили специалисты.