MSUpdater используется для атаки на госсектор

Zscaler и Seculert одновременно сообщили об обнаружении новой хакерской кампании, направленной на пользователей из среды госсектора и компаний, работающих с госсектором. Согласно предоставленным компаниями данным, атакующие отправляют целевым получателям из указанных сфер спам-письма, выполненные под видом приглашений на различные конференции. Часто приглашения были размещены в PDF-файлах. Очевидно, что в приложенных файлах содержался вредоносный код, рассчитанный на использование уязвимостей в Adobe Reader. Компании называют провоцируемый в результате открытия для загрузки файл троянцем MSUpdater, так как тот симулирует сообщение от системы обновления Windows Update.

С учетом того, что обнаруженная атака носит целевой характер, атакующие явно заинтересованы в получении файлов, хранящихся на компьютерах работников американского госсектора и компаний, с ним связанных. Технический директор Seculert Авив Рафф, полагает, что за данной атакой стоят так называемые «государственные хакеры», так как обычные хакеры вряд ли станут охотиться за гостайнами.

Обе компании говорят, что уязвимость в Reader, эксплуатируемая в этой атаке, была закрыта Adobe около года назад, поэтому хакеры, судя по всему, надеялись на нерасторопность ИТ-администраторов соответствующих ведомств.

Что привлекает внимание в этой атаке, так это дополнительная шифровка исходящего от трояна трафика. Это говорит о том, что хакеры не исключали возможности обнаружения со стороны пользователей, однако чтобы последним было труднее отследить C&C сервер, на который троян передавал данные, зашифровали трафик. В Zcaler говорят, что софт во время работы создавал вокруг себя виртуальную машину в миниатюре, которая должна была гарантировать защиту получателям данных.