Aanvallers hebben lopende e-mailconversaties gebruikt om een internationale sportorganisatie, Europese bedrijven die zich met handelsmerken en intellectueel eigendom bezighouden, een bank in het Midden-Oosten en verschillende individuen aan te vallen. Dat laat securitybedrijf Palo Alto Networks weten.

Om de aanval uit te voeren werden e-mailaccounts gehackt van personen met wie het doelwit communiceerde. Vervolgens zochten de aanvallers naar lopende e-mailconversaties en verstuurden berichten die op deze conversaties aanhaakten. De berichten waren voorzien van een document dat misbruik maakt van een beveiligingslek in Microsoft Office en WordPad (CVE-2017-0199) dat in april van dit jaar werd gepatcht.

De kwetsbaarheid werd al voor het uitkomen van de update aangevallen. De aanvallen waar Palo Alto Networks over schrijft vonden echter in mei plaats. Organisaties en gebruikers hadden zich dan ook eenvoudig kunnen beschermen door de beschikbare Office-update te installeren. In het geval de update niet was geïnstalleerd en het document werd geopend kon er een backdoor op het systeem worden geïnstalleerd waarmee aanvallers volledige toegang kregen.