#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Flax Typhoon - спонсируемый китайским государством угрожающий субъект, действующий с середины 2021 года и использующий различные техники для получения несанкционированного доступа к данным, инструментам и инфраструктуре электронной почты. Организациям необходимо принимать упреждающие меры по снижению риска будущих атак этого и других агентов угроз путем реализации комплексной стратегии "защита в глубину".
-----

Storm-0558, Volt Typhoon, Storm-0978 и Flax Typhoon - это китайские государственные угрозы, которые, по данным Microsoft, используют различные методы для получения несанкционированного доступа к данным электронной почты, инструментам и уникальным характеристикам инфраструктуры. Flax Typhoon действует с середины 2021 года и атакует государственные учреждения и образовательные учреждения, критически важные производственные и информационно-технологические организации на Тайване, а также в других регионах Юго-Восточной Азии, Северной Америки и Африки.

Известно, что Flax Typhoon использует веб-оболочку China Chopper, Metasploit, инструмент повышения привилегий Juicy Potato, Mimikatz и клиент виртуальной частной сети (VPN) SoftEther. Однако в первую очередь Flax Typhoon полагается на "живые" методы и работу с клавиатурой. Первоначальный доступ Flax Typhoon получает путем использования известных уязвимостей в публичных серверах и развертывания веб-оболочек. После получения доступа Flax Typhoon с помощью инструментов командной строки устанавливает постоянный доступ по протоколу удаленного рабочего стола, разворачивает VPN-соединение с сетевой инфраструктурой, контролируемой злоумышленниками, и собирает учетные данные со взломанных систем. После этого Flax Typhoon получает возможность сканировать уязвимости на целевых системах и организациях со взломанных систем.

Кроме того, серверы, предназначенные для публичного доступа, нуждаются в дополнительном контроле и защите. Мониторинг реестра Windows на предмет несанкционированных изменений. Используйте системы сетевого мониторинга и обнаружения вторжений для выявления необычного или несанкционированного сетевого трафика. Убедитесь, что системы Windows обновляются последними патчами безопасности. Внедрить политики многофакторной аутентификации. Рандомизировать пароли локального администратора. Включить правила уменьшения поверхности атаки. Усилить процесс LSASS. Включить "облачную" защиту в антивирусе Microsoft Defender. Запустить Microsoft Defender for Endpoint в блочном режиме.

Организациям необходимо принимать проактивные меры по снижению риска будущих атак со стороны этих и других угроз. Для минимизации потенциального воздействия таких атак необходима комплексная стратегия "защита на всю глубину".

#ParsedReport #CompletenessLow
25-08-2023

Smoke Loader Drops Whiffy Recon Wi-Fi Scanning and Geolocation Malware

https://www.secureworks.com/blog/smoke-loader-drops-whiffy-recon-wi-fi-scanning-and-geolocation-malware

Report completeness: Low

Threats:
Smokeloader
Whiffy_recon

ChatGPT TTPs:
do not use without manual check
T1543.001, T1060

IOCs:
File: 2
Path: 3
Hash: 2
IP: 1

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи Secureworks CTU заметили, что ботнет Smoke Loader сбрасывает пользовательский исполняемый файл для сканирования Wi-Fi под названием Whiffy Recon, который использует близлежащие точки доступа Wi-Fi для триангуляции положения зараженных систем и отправляет данные на сервер C2.-----

Исследователи Secureworks Counter Threat Unit (CTU) обнаружили, что 8 августа 2023 года ботнет Smoke Loader распространил на зараженные системы специальный исполняемый файл для сканирования Wi-Fi. Вредоносная программа получила название Whiffy Recon и использует близлежащие точки доступа Wi-Fi для триангуляции местоположения зараженных систем с помощью геолокационного API Google.

Whiffy Recon проверяет наличие службы WLANSVC на скомпрометированной системе. Эта служба указывает на наличие беспроводных возможностей в системах Windows. Если имя службы не существует, сканер завершает работу. Вредоносная программа сохраняется в системе, создавая ярлык wlan.lnk в папке Startup пользователя.

Основной код Whiffy Recon работает в виде двух циклов. В первом цикле проверяется наличие файла с именем %APPDATA%\wlan\str-12.bin. Если такой файл существует и содержит корректные параметры, то Whiffy Recon переходит во второй цикл для выполнения сканирования Wi-Fi. Если файл str-12.bin не существует, вредоносная программа регистрирует скомпрометированную систему на сервере C2, отправляя полезную нагрузку в формате JSON в запросе HTTPS POST. В заголовках HTTP содержится поле Authorization, содержащее жестко закодированный UUID. Тело запроса содержит три параметра - случайно сгенерированный UUID для botId, идентифицирующий систему, тип, установленный в "COMPUTER", и номер версии, равный 1. В случае успешной регистрации сервер C2 отвечает JSON-сообщением об успехе, включающим поле "secret", содержащее UUID. Этот секретный UUID затем используется вместо жестко закодированного UUID авторизации в последующих POST-запросах.

Второй цикл программы Whiffy Recon сканирует точки доступа Wi-Fi через Windows WLAN API. Этот цикл выполняется каждые 60 секунд. Результаты сканирования отображаются в JSON-структуру и отправляются в Google Geolocation API через HTTPS POST-запрос. Затем эти данные отправляются в виде POST-запроса на сервер C2 с использованием секретного UUID авторизации и URI /bots/ UUID /scanned.

#ParsedReport #CompletenessLow
25-08-2023

Suspected APT37 New Attack Weapon Fakecheck Analysis Report

https://paper.seebug.org/3012

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: information_theft)
Kimsuky

Threats:
Fakecheck

Victims:
Public organizations and private enterprises in south korea, japan, vietnam, middle east, and other regions

Industry:
Chemical, Financial, Healthcare, Aerospace

Geo:
Vietnam, Korea, Japan, Chinese, Korean

ChatGPT TTPs:
do not use without manual check
T1550.001

IOCs:
Path: 2
File: 3
Hash: 7

Soft:
chrome

Algorithms:
zip

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 13, windows: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Fakecheck - троянская программа удаленного доступа (RAT), предположительно связанная с государственной организацией APT37. Он использует тактику обмана для атак на браузеры Chrome и Edge и собирает информацию о дисках и файлах из указанного каталога. Несмотря на то, что исследователи безопасности приписывают атаку APT37, прямых доказательств, связывающих ее с тактикой организации, нет.
-----

APT37 - это предполагаемая государственная организация, известная также под названиями ScarCruft, Reaper, RedEye и Ricochet Chollima, которая ведет свою деятельность с 2012 года. В основном она атакует государственные организации и частные предприятия в Южной Корее, но в последнее время расширила сферу своей деятельности, включив в нее химическую, электронную, производственную, аэрокосмическую, автомобильную и медицинскую отрасли в Японии, Вьетнаме, на Ближнем Востоке и в других регионах. Недавно сотрудники отдела перспективной разведки угроз Knownsec 404 в ходе проведения рутинной аналитической работы обнаружили вредоносный CHM-образец, содержащий вредоносные скрипты. Этот новый троянец получил название Fakecheck.

Fakecheck - это троянец удаленного доступа (RAT), отвечающий за выполнение удаленного управления. Он использует обманные приемы, например, выводит на экран окно с предложением переустановить .net 3.5. и нацеливается на пользовательские данные браузеров Chrome и Edge, включая настройки плагинов, историю просмотров, закладки и сохраненные пароли. Fakecheck собирает дисковую и файловую информацию из указанной директории, записывает ее в файл и загружает на командно-контрольный (C&C) сервер. Затем он получает данные с C&C-сервера, анализирует их и выполняет соответствующие команды.

Используемая злоумышленниками CHM-приманка ориентирована на темы, связанные в основном со страхованием, ценными бумагами и финансами, а также со счетами за услуги связи. В процессе атрибуции некоторые исследователи безопасности приписали атаку группе APT37. Однако на основании данных, которыми в настоящее время располагает группа перспективной разведки угроз KnownSec 404, прямых доказательств, связывающих ее с ТТП, используемыми APT37, нет. Метод использования CHM для загрузки вредоносного кода может применяться различными организациями, включая Kimsuky и APT37. Поэтому его нельзя напрямую отнести к известной организации. Для выявления более ценных разведывательных данных будет проводиться постоянное отслеживание аналогичных инцидентов.

#ParsedReport #CompletenessMedium
25-08-2023

Threat Actor Employs PowerShell-Backed Steganography in Recent Spam Campaigns. Executive Summary

https://cyble.com/blog/threat-actor-employs-powershell-backed-steganography-in-recent-spam-campaigns

Report completeness: Medium

Threats:
Steganography_technique
Agent_tesla
Limerat
Remcos_rat
Process_hollowing_technique
Process_injection_technique
Credential_dumping_technique

Industry:
Education, Financial

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 6
Url: 20
Path: 1
Hash: 28

Soft:
telegram

Algorithms:
zip, exhibit, base64, sha256

Functions:
DownloadString

YARA: Found

Links:
https://github.com/dzzie/VS\_LIBEMU

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 4, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрозы адаптировали тактику использования вредоносного содержимого PowerShell для своей вредоносной деятельности, применяя спам-рассылки для доставки вредоносных программ RAT, таких как Remcos, AgentTesla и LimeRAT. Для защиты от таких атак необходимы надежные меры кибербезопасности, обучение пользователей и стратегии проактивной защиты.
-----

Угрожающие лица адаптировали свою тактику к использованию вредоносного содержимого PowerShell для своей вредоносной деятельности. Такой подход позволяет им оставаться незаметными, обходить традиционные средства защиты и использовать существующие инструменты на взломанных системах. Сценарии и универсальность PowerShell делают его идеальным инструментом для злоумышленников, которым необходима гибкость и настройка. Недавно компания Cyble Research & Intelligence Labs (CRIL) обнаружила новую цепочку атак для распространения различных троянских программ удаленного доступа (RAT), таких как LimeRAT, AgentTesla и Remcos.

Первичное заражение начинается с рассылки спама, содержащего вложение Excel, которое использует уязвимость в редакторе уравнений для загрузки полезной нагрузки в виде VB-сценария. После его выполнения с помощью техники стеганографии извлекается JPG-изображение со скрытой полезной нагрузкой .NET в base64-кодировке. После декодирования данных получается и загружается сборка .NET, в которой в качестве параметра указан URL конечной полезной нагрузки. В результате происходит загрузка и внедрение полезной нагрузки вредоносной программы RAT в легитимный процесс системы-жертвы.

Вредоносные письма содержат имена файлов, такие как aU2WuhBz0.j32a9, и используют уязвимость Equation Editor (CVE-2017-11882) для инициирования загрузки последующей полезной нагрузки в цепочке атак. При нажатии опции Enable editing происходит разбор XML-данных из файла sheet1.xml.rels. После этого EQNEDT32.EXE используется для инициирования выполнения вредоносного шелл-кода, который загружает файл VB-сценария с определенного URL-адреса. Этот скрипт извлекает JPG-изображение со скрытой полезной нагрузкой .NET в base64-кодировке. После декодирования этих данных в RegAsm.exe с помощью техники "впаивания" процесса внедряются варианты вредоносного ПО Remcos, AgentTesla и LimeRAT.

Remcos относится к типу RAT и обладает целым рядом возможностей, включая удаленный контроль над компьютерами жертв, кражу данных, кейлоггинг, захват экрана, манипулирование файлами и возможность выполнения команд. Он часто используется ТА для несанкционированного доступа, утечки данных и других вредоносных действий. Agent Tesla функционирует как RAT и средство хищения данных на базе .NET и обычно используется для защиты начального доступа. Он проникает на компьютеры жертв, записывая нажатия клавиш, делая скриншоты и собирая конфиденциальную информацию. С другой стороны, LimeRAT - это RAT, ориентированная на несанкционированный контроль над взломанными системами. Его вредоносные действия включают шифрование файлов и принуждение жертв к выплате выкупа, майнинг криптовалюты, похищение конфиденциальной информации, распространение на другие устройства и организацию распределенных атак типа "отказ в обслуживании" (DDoS).

Спам по электронной почте предпочитают ТП из-за его доступности, низкой стоимости и использования человеческого поведения. Для защиты от таких атак необходимы надежные меры кибербезопасности, обучение пользователей и стратегии проактивной защиты.

#ParsedReport #CompletenessLow
25-08-2023

Lockbit leak, research opportunities on tools leaked from TAs

https://securelist.com/lockbit-ransomware-builder-analysis/110370

Report completeness: Low

Actors/Campaigns:
Bl00dy

Threats:
Lockbit
Trojan.win32.inject.aokvy

Industry:
Financial

Geo:
Francesco

ChatGPT TTPs:
do not use without manual check
T1087, T1087, T1119, T1572, T1569, T1570, T1027, T1070, T1489, T1490, have more...

IOCs:
File: 2

Soft:
psexec

Algorithms:
xor, base64, ror13

Functions:
GetLucky

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Lockbit 3 - широко распространенный штамм вымогательского ПО, имеющий партнерскую программу и программу вознаграждения за ошибки. Компания GERT проанализировала конструктор для Lockbit 3 и обнаружила, что он используется не только группой разработчиков Lockbit, но и другими лицами.
-----

Lockbit - один из самых распространенных штаммов ransomware, который имеет партнерскую программу для тех, кто участвует в его распространении. Кроме того, существует программа вознаграждения исследователей безопасности, которые находят уязвимости, позволяющие расшифровывать файлы без уплаты выкупа. Lockbit v3, также известный как Lockbit Black, был впервые обнаружен в июне 2022 года. Он способен использовать зашифрованные исполняемые файлы со случайно сгенерированными паролями. В сентябре 2022 года произошла утечка билдера для Lockbit 3, позволяющего любому желающему создать собственную версию этой программы-рансома.

В ходе инцидента, проведенного компанией GERT, был обнаружен вариант Lockbit 3, используемый для шифрования критически важных систем. При вторжении использовалась тактика, аналогичная тем, что применяются восемью основными группами ransomware для разведки, сбора информации, сбора и развертывания. Процедура требования выкупа отличалась от той, которую обычно использует группа Lockbit. В записке с требованием выкупа указывалась сумма, которую необходимо заплатить за получение ключей, и направлялись сообщения в службу Tox и по электронной почте.

Команда GERT компании "Касперский" решила проанализировать сборщик Lockbit 3, чтобы понять методику его построения и выявить возможности дополнительного анализа. В ходе анализа были выявлены параметры, принудительно заложенные в вредоносную программу, такие как убийство сервисов, процессов, защитника и журналов, а также опции самоуничтожения и отсутствия выключения системы. 90% образцов настраивают развертывание сети с помощью PSEXEC или GPO и редко используют C2-коммуникации. 77 образцов не содержат ссылок на Lockbit, что позволяет предположить, что сборщик используется не оригинальной группой Lockbit.

#technique

Bypassing Bitlocker using a cheap logic analyzer on a Lenovo laptop

https://www.errno.fr/BypassingBitlocker

#technique

Abusing mhyprotect to kill AVs / EDRs / XDRs / Protected Processes.

https://github.com/zer0condition/mhydeath

#ParsedReport #CompletenessLow
28-08-2023

The Fraud Gala: Exploring a Recent BEC Campaign

https://blog.cluster25.duskrise.com/2023/08/25/the-fraud-gala-bec

Report completeness: Low

Actors/Campaigns:
Bec (motivation: cyber_criminal)

Victims:
Companies in the us, canada, and italy in the technology, financial, energy, and logistics sectors

Industry:
Foodtech, Energy, Financial, Logistic

Geo:
Canada, Italy

TTPs:
Tactics: 3
Technics: 5

IOCs:
Email: 4

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Мошенничество с использованием BEC представляет собой серьезную угрозу для организаций любого размера, и организациям следует принять меры по защите от этого мошенничества.
-----

Мошенничества, связанные с компрометацией деловой электронной почты (BEC), представляют собой серьезную угрозу для организаций любого масштаба. Злоумышленники выдают себя за ключевых фигур в организации, таких как руководители или доверенные партнеры, чтобы обманом заставить сотрудников выполнить действия, выгодные злоумышленникам. К распространенным видам BEC-мошенничества относятся мошенничество с использованием имени генерального директора, когда мошенники выдают себя за высокопоставленных руководителей, требуя срочного перевода средств, и мошенничество с использованием фальшивых счетов, когда сотрудники, ответственные за обработку платежей, перенаправляют их на поддельные счета.

Недавно компания Cluster25 наблюдала BEC-кампанию, в которой в качестве приманки использовалось пожертвование в некоммерческий фонд, а в качестве CC указывался адрес электронной почты генерального директора. Атака заключалась в имитации разговора с генеральным директором компании, в ходе которого он соглашался на просьбу о пожертвовании. Мошенническое письмо содержало два PDF-файла: один с налоговой информацией, другой - со счетом-фактурой на сумму пожертвования и банковскими реквизитами.

Атаке подверглись компании из США, Канады и Италии, работающие в технологическом, финансовом, энергетическом и логистическом секторах. Все темы электронных писем касались торжественного мероприятия и возможности спонсорства. Злоумышленник использовал банковский счет, зарегистрированный на PNC Bank в Питтсбурге.

После выявления атаки BEC важно принять меры по снижению ущерба. Организации должны обеспечить осведомленность сотрудников о риске атак BEC, а также наличие соответствующих средств контроля и процедур для выявления и пресечения подозрительной активности. Например, сотрудники должны быть обучены распознавать признаки атаки BEC, такие как необычные запросы на перевод средств или изменения в процессах оплаты.

Наконец, организациям следует убедиться в наличии надежных планов реагирования на инциденты, позволяющих быстро обнаружить и отреагировать на любую BEC-атаку. Это должно включать наличие специальной группы, которая может расследовать любые подозрительные действия, а также возможность связаться с правоохранительными и другими соответствующими органами в случае необходимости.

Осознавая угрозу BEC-атак и принимая необходимые меры по защите своей организации, предприятия могут значительно снизить риски, связанные с этими мошенничествами.

#ParsedReport #CompletenessLow
28-08-2023

Rogue Scripts Are Exploiting OTP Verification APIs To Send Heaps of OTP SMSes, Hold The Potential Of Triggering Service Disruptions.

https://www.cloudsek.com/threatintelligence/rogue-scripts-are-exploiting-otp-verification-apis-to-send-heaps-of-otp-smses-hold-the-potential-of-triggering-service-disruptions

Report completeness: Low

Threats:
Sms_bomber

Victims:
Indian companies and their apis

Industry:
Telco, Financial

Geo:
Indonesia, Indian, India, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1188, T1097, T1498, T1568

Links:
https://github.com/TheSpeedX/TBomb
https://github.com/iMro0t/bomb3r
https://github.com/LimerBoy/Impulse/blob/master/tools/SMS/services.json
https://github.com/Priyans0830m/DDOS-BOMBER/tree/main
https://github.com/bhattsameer/Bombers/tree/master
https://github.com/ebankoff/Beast\_Bomber
https://github.com/anubhavanonymous/XLR8\_BOMBER

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Платформа XVigil компании CloudSEK помогает организациям выявлять вредоносную активность, связанную с SMS-бомберами, например, неконтролируемую рассылку SMS, которая может привести к перебоям в работе телекоммуникационных сервисов, захвату учетных записей, а также атаки на усталость или истощение MFA. Компаниям также следует использовать ограничение скорости и защиту CAPTCHA, а также информировать клиентов о рисках, связанных с вредоносными SMS-бомбардировщиками.
-----

Платформа XVigil компании CloudSEK, работающая на основе искусственного интеллекта, обнаружила на GitHub репозитории индийских компаний и их API, которые позволяют неограниченно использовать возможности OTP SMS. Это представляет опасность, поскольку позволяет осуществлять неконтролируемую SMS-рассылку без ограничений по скорости или CAPTCHA, что может быть использовано автоматизированными инструментами. Такое злоупотребление может привести к более высоким, чем ожидалось, затратам на API, юридическим последствиям и негативному влиянию на общественный имидж компании.

Угрожающие лица разработали автоматизированное программное обеспечение, которое использует конечные точки генерации OTP для отправки большого количества сообщений OTP. Это может привести к целенаправленному отключению телекоммуникационных услуг, а также к сценариям захвата учетных записей. Кроме того, это может привести к атакам типа "усталость" или "истощение" MFA.

Пользователь SMS-бомбардировщика указывает целевой телефонный номер или список телефонных номеров, на которые он хочет рассылать сообщения. Эта информация может быть введена вручную или импортирована из файла. Простой поисковый запрос в Google даст вам результаты по SMS-бомбардировщикам.

Платформа XVigil компании CloudSEK помогает организациям обнаружить подобные вредоносные действия, чтобы предотвратить злоупотребление API и защитить данные своих клиентов. Кроме того, компаниям следует использовать ограничение скорости и защиту CAPTCHA на конечных точках API, а также следить за необычной активностью. Кроме того, компании должны информировать своих клиентов о рисках, связанных с вредоносными SMS-бомбардировщиками, и о том, как их избежать.

#ParsedReport #CompletenessHigh
28-08-2023

HTML Smuggling Leads to Domain Wide Ransomware

https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware

Report completeness: High

Actors/Campaigns:
Shathak
Wizard_spider

Threats:
Smuggling_technique
Nokoyawa
Icedid
Cobalt_strike
Adfind_tool
Nltest_tool
Beacon
Sessiongopher_tool
Netscan_tool
Meterpreter_tool
Process_injection_technique

Industry:
Financial

Geo:
Bulgaria

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 6
File: 14
Command: 4
Path: 9
Domain: 3
Hash: 16

Soft:
active directory, psexec, windows file explorer, openssl, softperfect network scanner, whatsapp

Algorithms:
gzip, zip, base64

Win API:
DllRegisterServer, CreateRemoteThread

Languages:
php

Platforms:
x86

YARA: Found
SIGMA: Found

Links:
https://github.com/ufrisk/MemProcFS
https://github.com/Arvanaghi/SessionGopher/blob/master/SessionGopher.ps1

#ParsedReport #CompletenessLow
28-08-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html

Report completeness: Low

Threats:
Maldoc_in_pdf_technique

ChatGPT TTPs:
do not use without manual check
T1220.001, T1064, T1059.003

IOCs:
Url: 2
Hash: 3

Languages:
javascript

YARA: Found

Links:
https://github.com/DidierStevens/DidierStevensSuite/blob/master/pdfid.py
https://github.com/decalage2/oletools/wiki/olevba

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MalDoc in PDF - это новая техника, используемая в атаке, которая обходит обнаружение путем встраивания вредоносного файла Word в PDF-файл, однако инструмент анализа OLEVBA все же может быть использован для противодействия этой технике.
-----

MalDoc in PDF - это новая техника, используемая в атаке, произошедшей в июле, которая обходит обнаружение путем встраивания вредоносного файла Word в файл PDF. Эта техника называется MalDoc in PDF и позволяет открыть вредоносный файл Word в Word, несмотря на то, что он имеет магические числа и файловую структуру PDF. Атака использует расширение файла .doc, поэтому, когда файл настроен на открытие в Word в настройках Windows, он открывается как файл Word.

При анализе файла, созданного MalDoc в формате PDF, скорее всего, средства анализа PDF, такие как pdfid, не смогут обнаружить его вредоносные части. Это связано с тем, что вредоносное поведение проявляется только при открытии файла в Word, но не при его открытии в программах просмотра PDF. Кроме того, поскольку файл распознается как PDF-файл, существующее антивирусное программное обеспечение может его не обнаружить.

Для борьбы с этой техникой все же можно использовать OLEVBA, инструмент анализа вредоносных файлов Word. OLEVBA выводит встроенные макросы, что позволяет проверить вредоносную часть файла по результатам анализа, проведенного инструментом. Однако MalDoc in PDF не обходит настройку, отключающую автоисполнение в Word макросов. Поэтому при проведении автоматизированного анализа вредоносного ПО с использованием тех или иных инструментов, "песочницы" и т.д. необходимо ориентироваться на результаты обнаружения.