Использование 0 day-уязвимости IE 6/7/8 в политических целях
Специалистами компании FireEye был обнаружен вредоносный код на сайте Совета по международным отношениям США (СМО), очень влиятельной некоммерческой организации, занимающейся аналитической обработкой внешнеполитического курса США. Организация основана в 1918 году при поддержке крупных банков и финансовых организаций Уолл-стрит, а её миссия формулировалась как "пробудить Америку к её всемирной ответственности".
Членами СМО являются 4,5 тыс. человек, среди них большинство лиц, оказавшие значительное влияние на внешнюю политику США в последние десятилетия. Это своеобразный мозговой центр и главный оперативный штаб по разработке и проведению внешнеполитического курса.
27 декабря на сайте Совета по международным отношениям США был обнаружен вредоносный код JavaScript, который разместили примерно 21 декабря. Скрипт загружал эксплойт, ранее использующий неизвестную 0 day-уязвимость в Internet Explorer 8 и более ранних версий. Уязвимость связана с некорректной обработкой контента Adobe Flash.
Скрипт срабатывал только для пользователей, у которых язык операционной системы распознавался как английский, китайский, японский, корейский и русский.
var h=navigator.systemLanguage.toLowerCase();
if(h!="zh-cn" && h!="en-us" && h!="zh-tw" && h!="ja" && h!="ru" && h!="ko")>
{
location.href="about:blank";
}
Скрипт также проверял cookies, чтобы не поставлять эксплойт одному пользователю дважды.
var num=DisplayInfo();
if(num >1)
{
location.href="about:blank";
}
После проверки скрипт запускал вредоносный файл
- today.swf
а также записывал в кэш
- xsainfo.jpg
Он выступал в качестве дроппера и скачивал
- flowertep.jpg
который декодируется как DLL, а также бинарник
- shiape.exe
который после исполнения внедрял код в процесс
- iexplore.exe
и прописывался в реестре
- HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
29 декабря компания Microsoft подтвердила факт уязвимости и опубликовала бюллетень безопасности. Уязвимости присвоен идентификатор CVE-2012-4792.
Обновлено (13.01.2013 03:02)