Trend Micro сообщают, что за Royal ransomware стоят опытные злоумышленнике, которые раньше входили в команду Conti Team One.

По данным ресечреров, Royal — это модифицированная версия программы-вымогателя Zeon, появившейся ранее в этом году и связанной с Conti Team One, одной из групп, занимающихся распространением Conti ransomware.

В апреле этого года Conti свернули свою активность после большой утечки внутренних данных, которая была инициирована одним из участников на фоне разногласий из-за ситуации на Украине.

Согласно аналитики, представленной исследователем Виталием Кремезом, за Conti стояли три группы хакеров, одна из которых переключилась на Quantum ransomware, другая использовала штаммы программ-вымогателей Black Basta, Karakurt и Blackbyte, а теперь и Royal, и третья развалилась в начале 2022 года.

Как сообщает Trend Micro, программа-вымогатель Royal использовалась в атаках, нацеленных в основном на организации в США и Бразилии. При этом обычно распространялось посредством фишинга для побуждения жертв к установке ПО для удаленного доступа.

Используя вредоносное ПО для удаленного доступа, операторы программы-вымогателя Royal затем загружали в скомпрометированную систему дополнительные инструменты, в том числе QakBot и Cobalt Strike для бокового перемещения, NetScan для идентификации систем, подключенных к сети, и PCHunter, PowerTool, GMER и Process Hacker для отключения продуктов безопасности.

Киберпреступники также использовали RClone для эксфильтрации данных жертв, AdFind для поиска активных каталогов, RDPEnable для подключения к удаленному рабочему столу и PsEXEC для запуска программы-вымогателя.

В ходе атаки Royal удаляет теневые копии в системе, чтобы предотвратить восстановление данных, и увеличивает скорость шифрования, запуская потоки на всех процессорах в системе и используя форму прерывистого шифрования.

После чего ransomware оставляет записку с требованием выкупа в каждом каталоге.

Расследования атак программ-вымогателей Royal показывает, что группа успешно реализует сочетание как старых, так и новых методов, что указывает на то, что бренд - явно не новичок в индустрии программ-вымогателей. 

Несмотря на «поздний» выход, в сентябре, группа уже эффективно отработала ряд компаний, а в ближайшее время ожидается, что их активность возрастет в ближайшие месяцы.

Ресерчеры Cisco Talos обнаружили 12 уязвимостей в OpenImageIO, которые могут привести к раскрытию конфиденциальной информации, DoS, переполнению буфера кучи и RCE.

OpenImageIO — это библиотека обработки изображений, полезная для преобразования и сравнения изображений.

Она используется в ПО для 3D-обработки AliceVision (включая Meshroom), а также Blender для чтения файлов Photoshop psd.

CVE-2022-41794, CVE-2022-38143, CVE-2022-41838, CVE-2022-41837, CVE-2022-41639 и CVE-2022-41981 был присвоен рейтинг CVSS 9.8, в связи с высоким приоритетом рисков выполнения произвольного кода. Уязвимости обусловлены механизмом обработки OpenImageIO файлов tif, psd, dds и др. файлов и типов метаданных.

CVE-2022-43597-CVE-2022-43598 касаются множественных уязвимостей, приводящих к повреждению памяти. Специально созданный объект ImageOutput может привести к RCE.

Также существуют множественные уязвимости выполнения кода, описанные в TALOS-2022-1656 (CVE-2022-43599-CVE-2022-43602). Злоумышленник может ввести вредоносные данные, чтобы активировать эти уязвимости.

Несколько уязвимостей могут вызвать отказ в обслуживании. Злоумышленник может предоставить вредоносные данные или файлы, чтобы активировать эти уязвимости (CVE-2022-41684, CVE-2022-41999, CVE-2022-43593, CVE-2022-43594-CVE-2022-43595, CVE-2022-43603).

Talos также обнаружила уязвимости раскрытия конфиденциальной информации с более низкой оценкой (CVE-2022-41977, CVE-2022-36354, CVE-2022-41649, CVE-2022-41988, CVE-2022-43592, CVE-2022-43596).

Пользователям рекомендуется как можно скорее обновить уязвимые продукты: Project OpenImageIO master-branch-9aeece7a, v2.3.19.0 и v2.4.4.2, ведь, согласно результатам исследований Talos, все предыдущие версии OpenImageIO подвержены уязвимостям.

͏Ведущая букмекерская компания BetMGM сообщила об утечке данных после киберинцидента, в ходе которого злоумышленник украл личную информацию клиентов.

Основанный в 2018 году BetMGM со штаб-квартирой в Нью-Джерси является одним из крупнейших операторов ставок на спорт.

Функционирует как совместное предприятие американской развлекательной компании MGM Resorts International и мировым букмекером Entain plc. Под брендом BetMGM также работают Borgata Casino, Party Casino и Party Poker.

Хакеры выкрали широкий спектр данных, включая имена, даты рождения, контактную информацию, номера соцстрахования, сведения об аккаунтах, а также информацию, связанную с транзакциями на платформе BetMGM.

Компания добавила, что обнаружила инцидент в ноябре 2022 года, но считает, что взлом произошел еще в мае 2022 года.

В рамках предварительного расследования BetMGM нет обнаружила доказательств того, что злоумышленниками был получен доступ к паролям клиентов или средствам на счетах.

На онлайн-операции BetMGM инцидент также не повлиял. Компания уведомляет своих клиентов, рекомендуя им следить за возможной подозрительной активностью, связанной с их личной информацией.

Несмотря на то, что букмекерская контора так и не раскрыла обстоятельств инцидента и не называет объем утечки, вероятный злоумышленник под именем etmgmhacked уже продает в даркнете базу данных казино, актуальную по состоянию на ноябрь 2022 года.

База включает всех клиентов казино BetMGM из Мичигана, Нью-Джерси, ON, PV и WV, или 1 569 310 записей о пользователях, сделавших когда-либо ставку на площадке.

Потенциальным заинтересантам предлагается набор записей из числа игроков BetMGM в Нью-Джерси и Пенсильвании, а также массив с информацией о клиентах из всех штатов.

Полагаем, что столь ценный массив сведений в отношении игрозависимых персоналий не залежится долго на прилавке и будет быстро монетизирован, а также непременно уйдет в работу по линии соответствующих служб.

Начиная с 19 декабря повалились жалобы от пользователей электронной почты Xfinity, которые начали получать сообщения об обновлении информации об их учетной записи.

При этом доступ к аккаунту был утрачен, так как пароли были изменены.

После восстановления доступа к своим учетным записям пользователи увидели, что их взломали, а в профиль был добавлен дополнительный адрес электронной почты с доменом yopmail[.]com.

Причем, на учетных записях пользователей была установлена двухфакторная аутентификация, но тем не менее злоумышленникам удалось ее обойти.

Волна гневных комментариев от ряда пользователей Xfinity, чьи учетные записи были скомпрометированы уже прошла на Reddit и Twitter, а также затронула и их собственный сайт.

После того, как злоумышленники получали доступ к учетной записи и им необходимо было ввести код двухфакторной аутентификации.

Для этого ими, предположительно, использовался приватный метод OTP-обхода для сайта Xfinity, который позволял им подделывать успешные запросы проверки 2Fa.

После успешного входа злоумышленник сбрасывал пароль, а также менял дополнительный адрес электронной почты для получения писем при последующем восстановлении паролей от других сайтов, преимущественно криптовалютных бирж, таких как Coinbase и Gemini.

Xfinity пока официально никак не комментирует ситуацию, но, со слов одного из клиентов, который описал ситуацию на Reddit, корпорация знает о взломе, ведет расследование для выяснения источника атака и локализации последствий инцидента.

Пострадавшая в результате киберинцидента в августе 2022 года LastPass сообщила о более серьезных последствиях, нежели чем считалось ранее.

Как позже стало известно, злоумышленникам удалось получить доступ к внушительному объему личной информации ее клиентов, включая зашифрованные данные хранилища паролей.

Предварительное расследование указало тогда на компрометацию хакерами исходного кода и технической информации из среды разработки.

В LastPass отметили, что это позволило неустановленному актору скопировать резервную копию данных хранилища клиентов из зашифрованного контейнера хранилища.

Оно реализовано в собственном двоичном формате, в котором содержатся как незашифрованные данные (URL-адреса веб-сайтов), так и полностью зашифрованные поля (имена пользователей и пароли веб-сайтов, защищенные заметки и др).

Зашифрованные поля защищены с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля пользователя с использованием так называемой архитектуры компании с нулевым разглашением. 

По факту была украдена почти вся основная информация об учетной записи клиента и связанные метаданные, включая наименование компаний, имена конечных пользователей, платежные адреса, электронная почта, номера телефонов и IP-адреса доступа к LastPass.

При этом инцидент не затронул незашифрованные финансовые данные, поскольку они архивировались в контейнер облачного хранилища.

LastPass не разглашает общее число пострадавших пользователей, однако отметила об уведомлении менее 3% своих клиентов о необходимости принятия дополнительных мер по обеспечению безопасности своих конфиденциальных данных.

Также компания призывает пользователей избегать повторного использования мастер-паролей на других сайтах.

В целом же, компания ожидает потенциальные атаки на клиентов посредством социнженерии и брута для последующего взлома мастер-пароля и расшифровки копии украденных данных хранилища.

Будем посмотреть.

Microsoft, как обычно, незаметно исправила важную уязвимость безопасности в службе Azure (ACS) после того, как исследователи из Mnemonic обнаружили, что проблемная функция допускает атаки в обход сети между арендаторами.

Как выяснили ресерчеры, уязвимость позволяет обойти периметр идентификации изолированных от Интернета экземпляров Azure Cognitive Search и предоставляет межклиентский доступ к плоскости данных экземпляров ACS из любого места, включая экземпляры без явного доступа к сети.

Ошибка затронула все экземпляры службы Azure с активированной функцией «разрешить доступ с портала».

Включив эту функцию, клиенты фактически разрешили межклиентский доступ к плоскости данных своих экземпляров ACS из любого места, независимо от фактических сетевых конфигураций последних.

Причем сюда вошли экземпляры, открытые исключительно на частных конечных точках, а также экземпляры без явного доступа к сети, даже без какой-либо частной, служебной или общедоступной конечной точки.

Простым нажатием кнопки клиенты могли включить уязвимую функцию, которая фактически сбрасывала весь сетевой периметр, настроенный вокруг их экземпляров ACS, без предоставления какого-либо реального периметра идентификации, позволяя любому создать действительный токен доступа для ARM.

Microsoft заплатила вознаграждение в размере 10 000 долларов и повысила уровень серьезности баги с умеренного до серьезного из-за простоты эксплуатации и создания риска эксплуатации для множества пользователей.

В какой-то момент в процессе раскрытия информации Microsof заявила, что исправление было отложено, потому что исправление требовало значительного изменения уровня дизайна.

Правда, по словам исследователя Эмильена Сокки, уязвимость, получившая наименование ACSESSED, все же была исправлена Microsoft без официального объявления в конце августа 2022 года, примерно через шесть месяцев после того, как о ней впервые сообщили.

Эксперты предупреждают о критической уязвимости ядра Linux в 10 баллов по шкале CVSS, которая затрагивает серверы SMB и может привести к RCE.

Критическая уязвимость ядра Linux делает уязвимыми для взлома SMB-серверы с включенным ksmbd (сервер ядра Linux, который реализует протокол SMB3 в пространстве ядра для обмена файлами по сети).

Проблема связана с неправильной обработкой команд SMB2_TREE_DISCONNECT, в виду отсутствия проверки существования объекта перед выполнением операций над объектом.

Удаленный злоумышленник, не прошедший проверку подлинности, может выполнить произвольный код на уязвимых установках ядра Linux.

Для использования этой уязвимости не требуется аутентификация, но уязвимы только системы с включенным ksmbd.

Уязвимость была обнаружена 26 июля 2022 года исследователями Арно Гатиньолом, Квентином Минстером, Флораном Соделем и Гийомом Тесье из команды Thales Group, и была публично раскрыта 22 декабря 2022 года.

Исследователь Шир Тамари из Wiz_IO отметил, что SMB-серверы, использующие Samba, не затронуты, добавив, что SMB-серверы, использующие ksmbd, уязвимы для доступа на чтение, что может привести к утечке памяти сервера (по аналогии с уязвимостью Heartbleed).

В силу новизны ksmbd большинство пользователей по-прежнему используют Samba.

Администраторам, использующим же ksmbd, рекомендуется обновить ядро Linux до выпущенной в августе версии 5.15.61 или более поздней.

Исследователь ReSolver обнаружил бэкдор в маршрутизаторах ZyXEL LTE3301-M209 LTE.

CVE-2022-40602 связана с жестко закодированными учетными данными по аналогии с аналогичными проблемами в Telnet в D-Link DWR-921. Он проанализировал ELF, сосредоточив внимание на функциях amit, которые содержали лазейку в маршрутизаторах D-Link.

Прошивка в основном представляет собой слияние 3 разделов, раздел LZMA — это ядро, по адресу 0x148CD6 — root-fs, а по адресу 0x90BD36 — содержимое www.

Внутри последних Squashfs есть файл, который содержит по адресу 0x10 целевые байты Zlib. Несмотря на то, что он не нашел учетных данных Telnet, но обнаружил что-то похожее на бэкдор в веб-интерфейсе.

12 сентября 2022 года он уведомил ZyXEL об уязвимости, отправив технические подробности. Через два дня ZyXEL подтвердила проблемы и отметила, что баги затрагивают только модель LTE3301-M209.

19 октября ошибке был присвоен CVE, а 22 ноября был опубликован бюллетень безопасности ZyXEL и выпущено исправление для прошивки. 

Zyxel PSIRT решила не раскрывать учетные данные, чтобы предотвратить массовую эксплуатацию в дикой природе.

Владельцам затронутых устройств необходимо как можно скорее обновить их до последней версии прошивки.

Еще раз вернемся к Zerobot, о котором изначально сообщали Fortinet две недели назад.

Ботнет Интернета вещей (IoT) представляет собой самовоспроизводящееся и самораспространяющеся вредоносное ПО, написанное на языке Golang (Go) и нацеленное более чем на двенадцать архитектур, с широким спектром возможностей распределенной DDoS.

Microsoft опубликовала собственный анализ Zerobot, предупредив, что вредоносное ПО было обновлено с дополнительными возможностями, включая эксплойты для двух уязвимостей в Apache и Apache Spark, отслеживаемых как CVE-2021-42013 и CVE-2022-33891 соответственно.

Известно, что ошибка подделки запросов на стороне сервера (SSRF), исправленная в октябре 2021 года, CVE-2021-42013, также использовалась и в других ботнетах, включая Enemybot DDoS.

В дополнение к ранее обнаруженным эксплойтам, проанализированный Microsoft образец Zerobot также включает эксплойты для CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) и ZSL-2022-5717 (MiniDVBLinux).

После выпуска Zerobot 1.1 операторы вредоносных программ исключили CVE-2018-12613, уязвимость phpMyAdmin, которая могла позволить злоумышленникам просматривать или выполнять файлы.

При этом исследователи также обнаружили новые доказательства того, что Zerobot распространяется, компрометируя устройства с известными уязвимостями, которые не включены в двоичный файл вредоносного ПО, такими как CVE-2022-30023, уязвимость внедрения команд в маршрутизаторах Tenda GPON AC1200.

После компрометации устройства Zerobot внедряет сценарий для запуска вредоносного ПО ботнета (или сценарий для определения архитектуры устройства и получения соответствующего двоичного файла), обеспечивая устойчивость.

Угроза не нацелена на компьютеры с Windows, но Microsoft заявляет, что обнаружила образцы Zerobot, которые могут работать в среде Windows.

Обновленный вариант Zerobot содержит несколько новых возможностей для запуска DDoS-атак с использованием протоколов UDP, ICMP, TCP, SYN, ACK и SYN-ACK.

Zerobot также может сканировать Интернет на наличие дополнительных устройств для заражения. Эта функция позволяет ему сканировать наборы случайно сгенерированных IP-адресов, пытаясь идентифицировать IP-адреса приманки.

Microsoft также определила образец, который может работать в Windows на основе кроссплатформенного (Linux, Windows, macOS) средства удаленного администрирования с открытым исходным кодом (RAT) с различными функциями, такими как управление процессами, файловые операции, создание снимков экрана и выполнение команд.

Видимо в канун нового года не до обновлений, особенно когда в Интернет-магазинах на WordPress идет активная продажа подарочных карт через популярный плагин YITH WooCommerce Gift Cards Premium.

Как оказалась, не менее активные продажи и у хакеров, которые штудируют сеть и эксплуатируют критическую уязвимость плагина CVE-2022-45359 с оценкой 9,8 по CVSS, которая позволяет неаутентифицированным пользователям загружать файлы на уязвимые ресурсы, обеспечивая себе полный контроль.

По классике жанра, все что касается WordPress всегда славится масштабом угроз и ошибка в YITH WooCommerce Gift Cards Premium не исключение, так как плагин используется на более чем 50 000 сайтах.

Уязвимость обнаружена 22 ноября и затрагивает все версии плагина вплоть до 3.19.0.

Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0 и теперь настоятельно рекомендует обновляться именно до нее.

Исследователи Wordfence сообщают, что многие сайты, до сих пор используют уязвимую версию плагина, что к сожалению, не осталось без внимания злоумышленников, которые полным ходом эксплуатируют баг для загрузки бэкдоров, RCE и захвата чужих сайтов.

Специалисты разобрали эксплоит, который используют хакеры и выяснили, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init.

Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых PHP-файлов на сайт. В логах это отображается, как unexpected POST-запросы с неизвестных IP-адресов.

Wordfence выяснили, что на уязвимые сайты хакеры загружали следующие файлы:

• kon.php/1tes.php - загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh[.]com);
• b.php — простой файл загрузчика;
• admin.php — защищенный паролем бэкдор.

Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов произошел 14 декабря 2022 года.

Атаки продолжаются и до сих пор, в связи с чем необходимо как можно скорее обновить YITH WooCommerce Gift Cards Premium до версии 3.21.

͏На Breached хакеры выложили на продажу базу данных со сведениями на 400 миллионов уникальных пользователей Twitter.

Селлер по имени Ryushi утверждает, что данные собраны в результате парсинга с использованием уже исправленной уязвимость API, предлагая эксклюзивную продажу за 200 000 долларов.

Ранее в январе 2022 года благодаря этой же уязвимости другим злоумышленникам удалось извлечь информацию на 5,4 миллиона пользователей, а также 17 млн. Однако последняя утечка осталась в привате и не продавалась.

В качестве доказательства причастности базы селлер предоставил образец, включающий порядка 1000 учетных записей, а также конкретные примеры данных 37 знаменитостей, политиков, журналистов, руководителей корпораций и госучреждений, включая Александрию Окасио-Кортес, Дональда Трампа-младшего, Марка Кубу, Кевина О'Лири и Пирса Моргана.

По данным Хадсон Рок, на первый взгляд пруфы кажутся достоверными, однако полностью полагать легитимность всей базы на этом этапе невозможно.

Содержащиеся в базе профили пользователей содержат общедоступные и конфиденциальные данные из Twitter, включая адреса электронной почты пользователей, установочные данные, количество подписчиков, дату создания и номера телефонов.

Продавец сообщил, что сделка покрывается услугой условного депонирования, предлагаемой администраторами форума Breached, в частности, небезызвестным pompompurin.

После продажи хакеры обещают удалить данные. В случае отказа от эксклюзивной покупки, база будет продана копиями нескольким покупателям по 60 000 долларов.

Хакеры обратились к Илону Маску с предложением приобрести данные, прежде чем это приведет к большому штрафу в размере 276 миллионов долларов США в соответствии с европейским законом о конфиденциальности GDPR, а также сослался на сообщение, в котором отражены основные способы дальнейшей компрометации пользовательских сведений в мошеннических целях.

Вместе с тем, как признаются сами хакеры, все попытки выйти на контакт с Twitter провалились. Компания пока никак не комментирует инцидент.

Но будем посмотреть.

Специалисты из CrowdStrike обнаружили новый штамм продвинутого лоадера GuLoader.

Как выяснилось, авторы малвари провели приличный апгрейд и добавили широкий спектр фич для обхода программных средств защиты.

GuLoader, также известный как CloudEyE, впервые был обнаружен в 2019 году и представляет собой загрузчик на Visual Basic Script (VBS), который используется для распространения троянов удаленного доступа.

Как отметили эксперты, новый метод антианализа основан на сканировании выделенной памяти всех процессов, связанных с виртуальной машиной.

Вредонос использует трёхэтапный процесс, в котором VBScript доставляет полезную нагрузку, отвечающую за доставку второго этапа и проверку виртуальной среды, после чего шелл-код внедряется в память.

Далее, шелл-код, помимо использования тех же методов антианализа, загружает финальную полезную нагрузку по выбору злоумышленника с удаленного сервера и выполняет ее на скомпрометированном хосте.

Причем шелл-код использует несколько приемов антианализа и анти-отладки на каждом этапе выполнения, выдавая соответствующие сообщения об ошибке, если вдруг обнаружит какой-либо известный метод анализа или механизм отладки.

В целях уклонения от ловушек NTDLL.dl, реализуемых решениями EDR систем, малварь использует, как назвали эксперты - механизм внедрения избыточного кода.

Ресерчеры из Cymulate вовсе продемонстрировали технику обхода EDR, известную как Blindside, которая позволяет запускать произвольный код с использованием аппаратных точек останова для создания «процесса, в котором только NTDLL находится в автономном, неподключенном состоянии».

Как заключили исследователи, GuLoader был и остается опасной угрозой, которая постоянно развивается благодаря новым методам уклонения от обнаружения.

͏BTC.com обчистили на $3 млн. в ходе кибератаки.

Cедьмой по величине пул майнинга криптовалюты официально объявил об инциденте, в результате которого злоумышленниками была совершена кража криптоактивов на сумму около 3 млн. долларов, в том числе 700 000, принадлежащие ее клиентам, и цифровые активы на 2,3 млн., принадлежащие компании.

Атаку удалось обнаружить 3 декабря 2022 года, после чего администрация связалась по этому поводу с китайскими силовиками в Шэньчжэне. 23 декабря власти объявили о начале официального расследования.

Благодаря оперативным действиям компании удалось вернуть часть украденной криптовалюты, однако конкретная сумма не называется.

BTC.com также приняли все необходимые меры для блокировки аналогичных атак в будущем.

Платформа в настоящее время продолжает работать в штатном режиме за исключением услуг по управлению цифровыми активами.

В настоящее время компания не раскрывает информации о том, каким образом злоумышленники смогли украсть криптовалюту.

Также не ясно, были ли украдены какие-либо корпоративные данные или личная информация клиентов во время инцидента.

После того, как Microsoft реализовала начиная с июля 2022 года блокировку макросов Visual Basic для приложений (VBA) по умолчанию для файлов Office, загруженных из Интернета, многие злоумышленники пересмотрели свою тактику и экспериментируют с альтернативными путями заражения для развертывания вредоносных программ.

Тем не менее, заряженные документы Office, доставляемые с помощью целевых фишинга и социнженерии, остаются одной из широко используемых точек входа для продвинутых акторов, нацеленных на RCE.

Такие файлы традиционно побуждают жертв включить макросы для просмотра, казалось бы, безобидного контента, однако по факту - активировать скрытное выполнение вредоносного ПО в фоновом режиме.

По данным Cisco Talos, APT и владельцы обычных вредоносных программ стали все чаще использовать файлы надстроек Excel (.XLL) в качестве начального вектора вторжения.

Файлы XLL Microsoft описывает как тип файла библиотеки динамической компоновки (DLL), который можно открыть только в Excel.

Их можно отправлять по электронной почте, и даже с обычными мерами сканирования на наличие вредоносных программ пользователи могут открывать их, не зная, что они содержат вредоносный код

Ресерчеры обнаружили, что субъекты угроз используют сочетание собственных надстроек, написанных на C++, а также надстроек, разработанных с использованием инструмента Excel-DNA.

Такая техника получила широкое применение с середины 2021 года и используется до настоящего времени.

Тем не менее, первое публично задокументированное злонамеренное использование XLL произошло в 2017 году, когда APT10 (ака Stone Panda) задействовала этот метод для внедрения бэкдора в память через процесс.

Кроме того, аналогичные шаги предпринимались и DoNot Team, FIN7.

Злоупотребление форматом файла XLL использовалось для распространения штаммов вредосного ПО Agent Tesla, Arkei, Buer, Dridex, Ducktail , Ekipa RAT, FormBook, IcedID, Vidar Stealer и Warzone RAT, что может указывать на новую тенденцию в современном ландшафте угроз.

Ресерчеры Trustwave отмечают, что помимо надстроек XLL Excel злоумышленниками также применяются макросы Microsoft Publisher. Метод, в частности, реализован в ноябрьском обновлении Ekipa RAT.

Как и в других офисных продуктах Microsoft, файлы Publisher могут содержать макросы, которые будут выполняться при открытии или закрытии файла, что делает их весьма интересным начальным вектором атаки.

При этом ограничения Microsoft, препятствующие выполнению макросов в файлах, загруженных из Интернета, не распространяются на Publisher.

Ekipa RAT — отличный пример того, как злоумышленники постоянно совершенствуют свои методы, чтобы опережать предпринимаемые разработчиками меры защиты.

Создатели этой вредоносной ПО отслеживают изменения в индустрии безопасности и соответствующим образом пересматривают свою тактику.