IBM X-Force раскрыла детали масштабной фишинговой кампании, за которой стоит группировка ITG05. Целью злоумышленников стали правительственные и неправительственные организации на нескольких континентах, включая Европу, Северную и Южную Америку, а также регионы Закавказья и Центральной Азии.
Атакующие используют разнообразные документы: от внутренних до специально созданных, чтобы привлечь внимание жертв. Тематика документов включает в себя критическую инфраструктуру, здравоохранение, кибербезопасность и другие важные сектора.
Одной из особенностей кампании является применение механизма search-ms для запуска скрытых поисковых запросов, что позволяет загружать вредоносное ПО с заранее подготовленных серверов. Кроме того, выявлено использование скомпрометированных маршрутизаторов Ubiquiti для распространения вирусов, что увеличивает риск незаметного заражения.
Фальшивые электронные письма, отправляемые хакерами, имитируют официальную переписку из различных стран, в том числе Аргентины, Грузии и США. Цель таких писем - активировать цепочку заражения с помощью вложенных документов-приманок.
В завершение цепочки атаки киберпреступники разворачивают вредоносные программы, такие как MASEPIE, OCEANMAP и STEELHOOK, направленные на кражу данных и выполнение команд на зараженных устройствах.
