МОСКВА, 25 мая. /ТАСС/. "Лаборатория Касперского" выявила новую группу Danti, занимающуюся кибершпионажем. Об этом говорится в сообщении антивирусного разработчика.
Эксперты "Лаборатории Касперского" на протяжении нескольких последних месяцев наблюдают волну кибератак на дипломатические и государственные учреждения в странах Средней и Юго-Восточной Азии. По данным компании, от действий злоумышленников в наибольшей степени пострадали пользователи в Казахстане, Узбекистане, Киргизии, Индии, Мьянме, Непале и Филиппинах.
Для заражения устройств во всех этих странах атакующие применяют программу-эксплойт, использующую одну и ту же уязвимость CVE-2015-2545 в приложении Microsoft Office, которую корпорация закрыла еще в конце 2015 г. При этом далеко не все пользователи своевременно устанавливают обновления, пояснили в "Лаборатории Касперского". В связи с этим разработчик призвал компании уделять больше внимания процессу установки патчей, поскольку именно эта мера позволит им защитить себя от атак с использованием уязвимостей.
Первые признаки деятельности Danti были замечены в феврале этого года, и кибергруппировка до сих пор активна.
Подметные письма
Атакующие распространяют эксплойт с помощью адресных фишинговых писем, а для того чтобы убедить получателя открыть сообщение, они используют имена высокопоставленных государственных лиц в качестве отправителей.
Как только эксплойт запускается на устройстве жертвы, в системе устанавливается программа-бэкдор, дающая атакующим полный доступ к конфиденциальным данным в зараженной сети. При этом обнаружить факт атаки довольно непросто - используемый Danti эксплойт отличается повышенной сложностью и способен избегать детектирования встроенными средствами защиты Windows.
Происхождение Danti пока неясно, однако эксперты "Лаборатории Касперского" полагают, что группировка каким- то образом связана с организаторами кампаний кибершпионажа NetTraveler и DragonOK. Также аналитики считают, что за Danti стоят китайскоговорящие хакеры.
"Мы уверены, что этот эксплойт еще покажет себя в будущем. Пока же мы продолжаем изучать связанные с этим зловредом инциденты и проверять, имеют ли они отношение к другим атакам в азиатском регионе, - отметил главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев.
Представитель Microsoft в России Кристина Давыдова подтвердила ТАСС, что уязвимость CVE-2015-2545 была закрыта Microsoft в конце 2015 г., для чего было выпущено соответствующее обновление Microsoft Office, которое автоматически было доставлено на компьютеры с лицензионным программным обеспечением (ПО). Для того, чтобы обезопасить свой компьютер, необходимо использовать лицензионное ПО, а также своевременно устанавливать обновления, подчеркнули в корпорации.
"Также облачные сервисы, в частности, Office 365 позволят всегда использовать самую последнюю версию продукта с обновленными средствами защиты. Так, в недавнем обновлении Office 365 был выпущен сервис Exchange Online Advanced Threat Protection, который позволяет обеспечить защиту от вредоносных программ подобного уровня", - добавила Давыдова.