Преступники перенаправляли пользователей на web-сайт, настроенный на загрузку эксплоитов для Firefox и Internet Explorer.
https://www.securitylab.ru/upload/ib...f6c4b5e0b9.jpg
Исправленные ранее в этом году в уязвимости в браузерах Firefox ( CVE-2019-17026 ) и Internet Explorer (CVE-2020-0674) были проэксплуатированы участниками киберпреступной группировки DarkHotel (APT-C-06) в атаках, нацеленных на Китай и Японию.
Уязвимость выполнения произвольного кода в Firefox была исправлена в начале января, а проблему в Internet Explorer Microsoft исправила в феврале. Обе уязвимости использовались в атаках еще до выпуска патчей.
Специалисты из японского координационного центра реагирования на компьютерные инциденты (JPCERT/CC) https://blogs.jpcert.or.jp/ja/2020/0...efox_0day.htmlоб атаках на японские и китайские предприятия, в ходе которых эксплуатировалась как уязвимость CVE-2019-17026, так и CVE-2020-0674.
Преступники перенаправляли пользователей на web-сайт, настроенный на загрузку эксплоитов для Firefox или Internet Explorer, в зависимости от браузера жертвы. В случае успеха в систему загружался файл автоматической настройки прокси-сервера. Данные файлы позволяли злоумышленникам перенаправлять запросы на указанных web-сайтах через внешний сервер, которым они управляли.
В конечном счете на систему жертвы загружалcя троян для удаленного доступа Gh0st. По словам специалистов, вредоносная программа запускалась только на 64-разрядных системах Windows 7 и Windows 8.1, а устройства под управлением Windows 10 не были затронуты.