Adathalászat
A Makeyev Állami Rakétaközpont a víz alatti stratégiai nukleáris rakéták fejlesztője.
A Malwarebytes szakértői a V.P.Makeyev akadémikusról elnevezett Állami Rakétaközpont munkatársait célzó adathalász e-maileket észleltek. Állítólag az orosz belügyminisztériumtól származó leveleket is kiszúrtak. A levelek megfogalmazásából ítélve szerzőjük nem orosz anyanyelvű.
A Malwarebytes nevű IS-szolgáltató olyan adathalász-támadások észleléséről számol be, amelyek nyilvánvalóan orosz stratégiai vállalatokat céloznak. Különösen az Állami Makeyev Rakétaközpont belső levelezését imitáló adathalász e-maileket, valamint állítólag az orosz belügyminisztériumtól származó e-maileket észleltek.
A Makejev Állami Rakétaközpont az orosz védelmi és űripar stratégiai holdingtársasága, a ballisztikus rakétákkal felszerelt folyékony és szilárd hajtóanyagú stratégiai rakétarendszerek kulcsfontosságú fejlesztője, valamint Oroszország egyik legnagyobb űr- és rakétatechnológiai fejlesztési központja.
Az adathalász e-mail, amely a vállalat alkalmazottait célozza, a HR-osztály üzenetét utánozza. A levél azt javasolja, hogy töltsék ki a mellékelt űrlapot, és küldjék el a személyzeti osztályra, vagy válaszoljanak erre a levélre; már maga az űrlap is gyanússá teszi a levél külföldi eredetét.
Különösen a nagybetűk meglehetősen hanyag használata, valamint a "munkakör" és a "házas" kifejezések használata atipikus az orosz hivatalos dokumentumokra.
A második üzenet, azonnal árulkodó. Először is, a cím ("Jogellenes bűncselekményekre vonatkozó értesítés"), másodszor, a nyomtatvány tételei, különösen a "Bankszámla" sor.
Az adathalász e-mail stilisztikája alapján gyanítható, hogy külföldi eredetű.
Hogy pontosan kit céloz meg a "MIA-tól" érkező levél, nem tudni.
"Az üzenetek írásmódja egyértelműen arra utal, hogy szerzőjük nem orosz anyanyelvű, bár elég jól ismeri az orosz nyelvet" - véli Anastasia Melnikova, a SEC Consult Services információbiztonsági szakértője. - Ez inkább a hírszerző ügynökségek munkája, mint a pénzügyi motivációjú kiber bűnözőké. A munka meglehetősen ügyetlen: ezek az e-mailek nem úgy néznek ki, mint a HR-osztályok vagy annál inkább a Belügyminisztérium valódi kérései. Az ilyen üzenetek azonban elméletileg megtéveszthetik a vonakodó felhasználót.
A Malwarebytes meg van győződve arról is, hogy egy külföldi kormány áll a támadások mögött, de hogy melyik, az egyelőre rejtély.
A fent leírt üzenetek olyan formanyomtatványokat kínálnak az áldozatoknak, amelyek a Microsoft Office dokumentum szerkesztését teszik lehetővé. Ha a felhasználó aktiválja a szerkesztést, egy olyan exploit indul, amely egy bizonyos sebezhetőséget céloz meg - egy "hibát" az MSHTML-ben, amely lehetővé teszi tetszőleges kód futtatását.
Pontosabban, egy ActiveX-vezérlő letöltődik egy rosszindulatú dokumentumból, amely tetszőleges kódot futtat, és lehetővé teszi a támadók számára, hogy további rosszindulatú szoftvereket töltsenek le az áldozat számítógépére.
A CVE-2021-40444 sebezhetőség viszonylag friss: először csak 2021. szeptember elején hozták nyilvánosságra. A hackerfórumokon rögtön a felfedezése után elkezdtek keringeni a kihasználására és a használatukra vonatkozó utasítások.
A Microsoft viszonylag gyorsan kiadott tanácsokat a sebezhetőség elhárítására, letiltva az új ActiveX-vezérlők telepítését, de csak nemrég adott ki javítást - egy szeptemberi kumulatív frissítés részeként.
A kérdés most az, hogy milyen gyorsan telepítik ezt a javítást azok a vállalatok, amelyek a támadások potenciális áldozatai lehetnek.
Arról egyelőre nincs információ, hogy konkrétan a Makejev Állami Kutatóközpontot érte-e tényleges kár. A közzététel időpontjáig a vállalat képviselői nem válaszoltak a megkeresésre.
Colonelcassad