Использование 0 day-уязвимости IE 6/7/8 в политических целях


FireEyeСпециалистами компании FireEye был обнаружен вредоносный код на сайте Совета по международным отношениям США (СМО), очень влиятельной некоммерческой организации, занимающейся аналитической обработкой внешнеполитического курса США. Организация основана в 1918 году при поддержке крупных банков и финансовых организаций Уолл-стрит, а её миссия формулировалась как "пробудить Америку к её всемирной ответственности".

Членами СМО являются 4,5 тыс. человек, среди них большинство лиц, оказавшие значительное влияние на внешнюю политику США в последние десятилетия. Это своеобразный мозговой центр и главный оперативный штаб по разработке и проведению внешнеполитического курса.

27 декабря на сайте Совета по международным отношениям США был обнаружен вредоносный код JavaScript, который разместили примерно 21 декабря. Скрипт загружал эксплойт, ранее использующий неизвестную 0 day-уязвимость в Internet Explorer 8 и более ранних версий. Уязвимость связана с некорректной обработкой контента Adobe Flash.

Скрипт срабатывал только для пользователей, у которых язык операционной системы распознавался как английский, китайский, японский, корейский и русский.

var h=navigator.systemLanguage.toLowerCase();
if(h!="zh-cn" && h!="en-us" && h!="zh-tw" && h!="ja" && h!="ru" && h!="ko")>
{
location.href="about:blank";
}

Скрипт также проверял cookies, чтобы не поставлять эксплойт одному пользователю дважды.

var num=DisplayInfo();
if(num >1)
{
location.href="about:blank";
}

После проверки скрипт запускал вредоносный файл

  • today.swf

а также записывал в кэш

  • xsainfo.jpg


Он выступал в качестве дроппера и скачивал

  • flowertep.jpg

который декодируется как DLL, а также бинарник

  • shiape.exe

который после исполнения внедрял код в процесс

  • iexplore.exe

и прописывался в реестре

  • HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\


29 декабря компания Microsoft подтвердила факт уязвимости и опубликовала бюллетень безопасности. Уязвимости присвоен идентификатор CVE-2012-4792.


Обновлено (13.01.2013 03:02)