Хакеры атаковали российский государственный ракетный центр и МВД

ИБ-эксперты из компании Malwarebytes сообщили об атаках на российский государственный ракетный центр и Министерство внутренних дел России, в ходе которых использовалась уязвимость ( CVE-2021-40444 ) в Microsoft MHTML (Trident) — проприетарном движке браузера Internet Explorer. Команда Malwarebytes Intelligence перехватила вредоносные вложения электронной почты, специально предназначенные для российских организаций.

Первое тип вредоносного документа замаскирован под внутреннее сообщение открытого акционерного общества «Государственный ракетный центр имени академика В. П. Макеева» (АО «ГРЦ Макеева»). АО «ГРЦ Макеева»— стратегический холдинг оборонно-промышленного комплекса страны в ракетно-космической отрасли. Письмо якобы было отправлено из отдела кадров организации.

Как сообщается в письме, HR выполняет проверку личных данных, предоставленных сотрудниками. В электронном письме сотрудников просят заполнить форму и отправить ее в отдел кадров или ответить на это письмо. Для заполнения формы получателю сперва необходимо разрешить редактирование. И этого действия достаточно для эксплуатации уязвимости.

Когда жертва открывает вредоносный документ Microsoft Office, происходт загрузка специально созданного элемента управления ActiveX. Затем загруженный элемент управления ActiveX может запускать произвольный код и устанавливать дополнительные вредоносы.

Второе письмо было якобы отправлено из Министерства внутренних дел в Москве. Документ под названием «Уведомление о незаконной деятельности» предлагает получателю заполнить форму и вернуть ее в Министерство внутренних дел или ответить на это письмо. Письмо также побуждает предполагаемую жертву сделать это в течение 7 дней.