Fancy Bear используют 0-Day уязвимость

Компания ESET выявили новую кибератаку, реализованную группой Sednit. Хакеры используют эксплойты к уязвимостям нулевого дня в продуктах Microsoft.

Кибергруппа Sednit, она же APT28, Fancy Bear и Sofacy, действует с 2004 года и специализируется на краже конфиденциальной информации. 

В апреле группа вновь напомнила о себе – хакеров обвинили во «вмешательстве в французские выборы», в частности, в атаке на штаб Эммануэля Макрона. Одновременно с этим внимание специалистов привлекла фишинговая рассылка с документом под названием Trump’s_Attack_on_Syria_English.docx во вложении.

Письмо эксплуатирует тему решения Дональда Трампа о ударе по Сирии. Документ-приманка содержит копию соответствующей статьи, опубликованной 12 апреля в The California Courier.

Документ предназначен для загрузки вредоносной программы Seduploader – скрипт группы Sednit. Хакеры используют два эксплойта – к уязвимости удаленного выполнения кода в Microsoft Word (CVE-2017-0262) и к уязвимости повышения привилегий в Windows (CVE-2017-0263).