Для эксплуатации уязвимости CVE-2017-0199 группировка использует два вида вредоносных документов.
Иранская APT-группировка MuddyWater начала использовать новые векторы атак на телекоммуникационные и правительственные организации. Как сообщают специалисты ИБ-компании Clearsky Security, MuddyWater пополнила свои тактики, техники и процедуры (TTP) новыми документами Microsoft Word, загружающими вредоносные файлы через скомпрометированные серверы, а также документами, экплуатирующими уязвимость CVE-2017-0199.
Документы с макросами VBA загружают замаскированное под JPG вредоносное ПО на атакуемый компьютер с сервера, находящегося в одной стране с жертвой. Данное ПО эксплуатирует уязвимость Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API (CVE-2017-0199) и детектируется только тремя решениями безопасности. Для сравнения, используемое в прошлых атаках ПО детектировалось 32 антивирусами.
После компрометации компьютера вредонос пытается подключиться к подконтрольному злоумышленникам C&C-серверу и в случае неудачи пользователь перенаправляется на «Википедию».
Для эксплуатации упомянутой выше уязвимости группировка использует два вида вредоносных документов. Первый документ использует сообщения об ошибках, а второй эксплуатирует уязвимость непосредственно после его открытия жертвой. Первый документ поочередно загружает с C&C-сервера на атакуемую систему вредоносное ПО первого и второго этапа. Некоторые документы используют оба вектора атак.