Експерти «Лабораторії Касперського» протягом кількох останніх місяців спостерігають хвилю кібератак на дипломатичні та державні установи в країнах Середньої і Південно-Східної Азії. Від дій зловмисників в найбільшою мірою постраждали користувачі в Казахстані, Узбекистані, Киргизії, Індії, М'янмі, Непалі та Філіппінах. Для зараження пристроїв у всіх цих країнах атакуючі застосовують програму-експлойт, що використовує одну і ту ж уразливість в додатку Microsoft Office. Своєю прихильністю саме цього зловредів відрізнялися вже відомі в кіберзлочинністю світі угруповання Platinum, APT16, EvilPost і SPIVY, однак на цей раз, як з'ясували експерти «Лабораторії Касперського», всі сліди ведуть до нової групи - Danti.

Перші ознаки активності Danti були помічені в лютому цього року, і кібер-угруповання досі не збавляє обертів. Використовувана цими зловмисниками уразливість CVE-2015-2545 була закрита Microsoft ще в кінці 2015 року, однак ця обставина не заважає їм здійснювати свою масштабну кампанію кібершпіонажу.

Атакуючі поширюють експлойт за допомогою адресних фішингових листів, а для того щоб переконати одержувача відкрити повідомлення, вони використовують імена високопоставлених державних осіб в якості відправників. Як тільки експлойт запускається на пристрої жертви, в системі встановлюється програма-бекдор, що дає атакуючим повний доступ до конфіденційних даних в зараженій мережі. При цьому виявити факт атаки досить непросто - використовуваний Danti експлойт відрізняється підвищеною складністю і здатний уникати детектування вбудованими засобами захисту Windows.

Походження Danti поки неясно, проте експерти «Лабораторії Касперського» вважають, що угруповання якимось чином пов'язана з організаторами кампаній кібершпіонажу NetTraveler і DragonOK. Також аналітики вважають, що за Danti стоять кітайскоговорящіе хакери.

«Ми впевнені, що цей експлойт ще покаже себе в майбутньому. Поки ж ми продовжуємо вивчати пов'язані з цим зловредів інциденти і перевіряти, чи мають вони відношення до інших атакам в азіатському регіоні, - зазначив Олександр Гостєв, головний антивірусний експерт «Лабораторії Касперського». - В цілому хвиля атак, здійснена за допомогою всього лише однієї уразливості, вказує на дві тенденції. По-перше, зловмисники все активніше йдуть від дорогої і тривалої розробки складних інструментів, зокрема експлойтів під уразливості нульового дня. Адже як показує практика, використання вже відомих проломів дає не найгірший результат. А по-друге, своєчасне оновлення ПО і закриття вразливостей в комерційних компаніях і державних організаціях все ще не є повсюдно поширеною практикою. Так що ми закликаємо компанії приділяти більше уваги процесу установки патчів, оскільки саме цей захід дозволить їм захистити себе від атак з використанням вразливостей ».

Детальніше про серію атак угруповання Danti читайте в дослідженні "Лабораторії Касперського": https://securelist.com/analysis/publications/74828/cve-2015-2545-overview-of-current-threats .