Tientallen organisaties zijn het slachtoffer van een aanval geworden waarbij aanvallers wisten binnen te dringen omdat een beveiligingsupdate voor een vijf jaar oude kwetsbaarheid in Microsoft Office niet was geïnstalleerd en gebruikers een malafide document openden, zo stelt antivirusbedrijf Kaspersky.
De aanvallen waren gericht tegen fabrieken, defensiebedrijven, ontwerpbureaus, onderzoeksinstellingen, overheidsinstanties en ministeries in Belarus, Oekraïne en Rusland. Volgens Kaspersky wisten de aanvallers bij tientallen bedrijven binnen te dringen en van een aantal de compelte it-infrastructuur over te nemen. De aanvallers maakten gebruik van spearphishingmails, voorzien van niet-publieke informatie over de aangevallen organisatie.
Dit houdt in dat de aanvallers mogelijk bij eerdere aanvallen informatie hebben bemachtigd. De spearphishingmails waren voorzien van een document met een exploit voor een vijf jaar oude kwetsbaarheid in Microsoft Office. Zodra gebruikers met een kwetsbare Office-installatie het document openden konden de aanvallers malware op het systeem installeren. Vervolgens werd geprobeerd om zich lateraal door het netwerk te bewegen en domaincontroller te worden.
Voor het beveiligingslek in Office (CVE-2017-11882) is sinds 14 november 2017 een update beschikbaar. Waarom organisaties de update niet hadden geinstalleerd is niet bekend. Volgens Kaspersky zijn de aanvallen zeer waarschijnlijk door een Chineestalige spionagegroep uitgevoerd. De virusbestrijder adviseert organisaties onder andere om personeel te trainen, met name op het herkennen van phishingmails en veilig omgaan met Microsoft Office.
Deze posting is gelocked. Reageren is niet meer mogelijk.