«Русских хакеров» обвинили в проведении кибератак на министерства иностранных дел стран НАТО. Об этом сообщила нидерландская компания по информационной безопасности EclecticIQ в своем новом отчете о продолжающейся хакерской кампании, нацеленной госучреждения стран, являющихся членами альянса.
Специалисты EclecticIQ уверены, что ответственность за эти атаки, скорее всего, несут «русские хакеры». В отчете компании говорится о том, что при проведении массовых фишинговых кибератак хакеры используют PDF-документы с различными «дипломатическими приманками». Некоторые документы замаскированы под сообщения от немецких государственных структур, а фишинговые письма используются для доставки вредоносного ПО под названием Duke.
Как предполагают специалисты EclecticIQ, соответствующее вредоносное ПО является разработкой хакерской группы APT29, которая также известна под названиями Cozy Bear, Midnight Blizzard и The Dukes. В компании отмечают, что хакеры использовали чат-приложение Zulip с открытым исходным кодом для управления и контроля своих действий, а также для уклонения от обнаружения средствами защиты и скрытия своих действий в легальном веб-трафике.
Эксперты подчеркивают, что хакеры в рамках этой фишинговой кампании рассылают письма с зараженным PDF-документом, который называется «Прощание с немецким послом». Файл содержит JavaScript-код, который инициирует многоэтапный процесс установки вредоносного ПО на целевое устройство.
Если пользователь попадается на эту фишинговую ловушку, то после открытия PDF-файла запускается вредоносный дроппер HTML под названием Invitation_Farewell_DE_EMB, который выполняет JavaScript, сбрасывающий ZIP-архив. Архив, в свою очередь, упаковывается в HTML-приложение, предназначенное для развертывания вредоносного программного обеспечения Duke.
Компания EclecticIQ также подчеркнула, что злоупотребление чат-приложением Zulip является достаточно распространенной практикой для многих хакерских групп. В отчете говорится о том, что целями хакерской группировки APT29 являются правительство и государственные субподрядчики, политические организации, а также важные предприятия в США и Европе.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.