Специалисты по кибербезопасности компании Mandiant выявили новую фишинговую кампанию «русских хакеров» из группировки APT29 (известной как Nobelium, Cozy Bear), которая нацелена на дипломатов и правительственные учреждения, сообщает Bleeping Computer.
В рамках новой фишинговой кампании, как отмечают в Mandiant, злоумышленники рассылают электронные письма дипломатам и сотрудникам разных правительственных учреждений. Интересно, что письма исходят с легальных email-адресов, которые принадлежат посольствам разных стран. Ещё одним примечательным аспектом этой киберпреступной кампании является злоупотребление Atlassian Trello и иными легитимными платформами облачных сервисов для управления и контроля (C2).
В Mandiant говорят, что выявленная кампания целевого фишинга началась в январе 2022 года и продолжалась до марта 2022 года несколькими волнами в соответствии с наиболее актуальными темами текущей геополитической повестки.
«Во всех случаях фишинговые email-письма отправлялись с законного, но скомпрометированного хакерами email-адреса, чаще всего принадлежащего дипломату. Поэтому получатели доверяют контенту, который им доставляется таким образом», – заявили в Mandiant.
В электронном письме использовался метод контрабанды HTML для доставки файла IMG или ISO получателю. Это метод, который группировка APT29 неоднократно использовала в прошлом с большим успехом, в том числе в атаках компанию SolarWinds.
Архив ISO содержит файл ярлыка Windows (LNK), который запускает встроенный вредоносный DLL-файл при нажатии. Чтобы заставить жертву запустить, файл LNK имеет вид файла документа со скрытым реальным расширением и поддельным значком.
Выполнение DLL приводит к доставке загрузчика BEATDROP, который запускается в памяти после создания приостановленного потока для внедрения в него и подключается к Trello для связи C2.
«Несмотря на постоянное и тщательное отслеживание действий группировка APT29 компетентными группами по анализу угроз, она остаётся шпионской угрозой высшего уровня для целей, представляющих большой интерес», – резюмировали в Mandiant.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.