Во время операции Red October в Восточной Европе, а также в некоторых других таргетированных атаках, хакеры применяли механизм атаки с использованием уязвимости CVE-2012-0158 в Microsoft Office. Однако специалистам антивирусной компании Sophos удалось узнать, какую лазейку использовали злоумышленники.
Исследователи обнаружили, что файлы «только для чтения» в Excel шифруются одним и тем же паролем по умолчанию, и с помощью брутфорса, или иначе полного перебора, по словарю у них получилось узнать этот пароль.
Хакеры использовали файлы XLS как контейнеры для доставки вредоносного кода с помощью уязвимости CVE-2012-0158 в Microsoft Office
Паролем оказалось слово «VelvetSweatshop», что дословно переводится как «бархатное/мягкое потогонное производство» (под потогонным производством имеется в виду предприятие с крайне низкой зарплатой и тяжелыми условиями труда). Видимо, сотрудник Microsoft, создавший это пароль, выбрал его намеренно, намекая на условия работы в Microsoft, и совершенно не рассчитывал, что его шифр будет угадан кем-то посторонним.
Специалисты из Sophos потратили много времени на изучение файлов RTF, XLS и DOC, которые использовались киберзлодеями в качестве оболочки для доставки вредоносного кода с помощью уязвимости CVE-2012-0158 в Microsoft Office. Чтобы защитить себя от антивирусов, хакеры использовали криптографическую защиту файлов. К примеру, файлы XLS можно зашифровать не только паролем, но и сохранить их «только для чтения». При этом Excel тоже применяет шифрование файлам read-only, которое действует и на антивирусы. Секрет в том, что такие документы открываются в Excel без ввода пароля, делая эту схему идеальным вариантом для вирусной атаки.