Группировка Sednit изменила тактику и способ осуществления атак

ИБ-эксперты из компании ESET  сообщили  о новых инцидентах с участием хакерской группировки Sednit, жертвами которой за последние пять лет стали различные организации из восточноевропейских стран. На этот раз злоумышленники скомпрометировали ряд финансовых web-сайтов, которые перенаправляли посетителей на набор эксплоитов.

Подобная тактика применяется Sednit впервые, поскольку ранее для атак группировка использовала фишинговые письма, которые содержали инфицированные документы Microsoft Word, эксплуатирующие уязвимость  CVE-2014-1761 . Для осуществления атак, которые были зафиксированы еще в апреле нынешнего года, злоумышленники использовали вредоносное ПО Win32/Sednit, также известное как Sofacy, BlackEnergy и MiniDuke.

Заражение Win32/Sednit происходило следующим образом: пользователь получал электронное письмо с прикрепленным документом Office, который производил впечатление особо важного. Пока пользователь просматривал документ, эксплоит устанавливал на систему одну из трех упомянутых программ. Примечательно, что темой фальшивых документов являлась политическая ситуацию на востоке Украины.

Исследователи из ESET обнаружили вредоносный контент на ресурсах нескольких финорганизаций Польши. Вредоносный iframe перенаправлял посетителей сайтов на набор эксплоитов, устанавливающих троян Win32/Sednit. Эксперты обнаружили, что посещая указанный в URL сайт hxxp://defenceiq.us, пользователь перенаправлялся на легитимный ресурс defenceiq.com, посвященный военной промышленности.

По словам экспертов, в наборе эксплоитов им удалось обнаружить три РоС-кода для уязвимости  CVE-2014-1776  в браузере Internet Explorer, которые ранее отсутствовали в известных наборах эксплоитов.