Неизвестный субъект угрозы, спонсируемый государством, провел новую кибератаку на госучреждения Европы и США. Компания Proofpoint заявила, что заблокировала попытки использования уязвимости удаленного выполнения кода CVE-2022-30190 c оценкой CVSS 7,8. Целям было отправлено больше 1000 фишинговых сообщений, содержащих документ-приманку.

«Эта кампания маскировалась под повышение зарплаты и использовала RTF с полезной нагрузкой эксплойта, загруженной с 45.76.53[.]253», — написала компания в Twitter .

Полезная нагрузка в виде сценария PowerShell имеет кодировку Base64 и функционирует как загрузчик для получения второго сценария PowerShell с удаленного сервера с именем «seller-notification[.]live».

«Этот скрипт проверяет наличие виртуализации , крадет информацию из локальных браузеров, почтовых клиентов и файловых служб, проводит разведку устройства, а затем архивирует данные для эксфильтрации по адресу 45.77.156[.]179», — добавили эксперты Proofpoint.

Фишинговая кампания не связана с определенной группировкой, но она организована с поддержкой государства на основе специфики атаки и широких разведывательных возможностей полезной нагрузки PowerShell.

«Обширная разведка, проведенная вторым сценарием PowerShell, демонстрирует, что злоумышленник заинтересован большим количеством ПО на компьютере цели. Атака на европейское правительство и местные органы власти США заставила нас предположить, что эта кампания поддерживается государством», — добавила Proofpoint.

Уязвимость CVE-2022-30190 под названием Follina использует схему URI протокола «ms-msdt» для удаленного управления целевыми устройствами и до сих пор остается неисправленной. После обнаружения уязвимости исследователем Microsoft призвала клиентов отключить протокол , чтобы предотвратить вектор атаки. Также уязвимость уже использовалась для атак на пользователей России, Беларуси и Тибета.