Търсене
Close this search box.

Руски държавни хакери примамват западни дипломати с BMW

Руската държавно спонсорирана хакерска група „APT29“ (известна още като Nobelium, Cloaked Ursa) използва нетрадиционни примамки като обяви за коли, за да подмами дипломати в Украйна да кликнат върху зловредни връзки, които доставят зловреден софтуер.

APT29 е свързана със Службата за външно разузнаване (СВР) на руското правителство и е отговорна за многобройни кампании за кибершпионаж, насочени към високопоставени лица по целия свят.

През последните две години руските хакери се фокусираха върху цели от НАТО, ЕС и Украйна, като използваха фишинг имейли и документи с външнополитическа тематика, както и фалшиви уебсайтове, за да заразят целите си със скрити задни врати.

В доклад, публикуван днес от екипа на Palo Alto Network Unit 42, се обяснява, че APT29 е развила тактиката си за фишинг, като използва примамки, които са по-лични за получателя на фишинг имейла.

Луксозни автомобили в Киев

В една от последните операции на APT29, забелязани от Unit 42, която започва през май 2023 г., участниците в заплахата използват реклама на автомобил BMW, за да се насочат към дипломати в столицата на Украйна, Киев.

Листовката за продажба е изпратена до имейл адресите на дипломатите, имитирайки легитимна продажба на автомобил, разпространена две седмици преди това от полски дипломат, който се подготвя да напусне Украйна.

Когато получателите кликнат върху връзката „още висококачествени снимки“, вградена в злонамерения документ, те се пренасочват към HTML страница, която доставя злонамерен полезен товар от ISO файлове чрез контрабанда на HTML.

Контрабандата на HTML е техника, използвана във фишинг кампаниите, при които се използват HTML5 и JavaScript, за да се скрият зловредни полезни товари в кодирани низове в HTML прикачен файл или уебстраница. След това тези низове се декодират от браузъра, когато потребителят отвори прикачения файл или кликне върху връзка.

Използването на тази техника помага за избягване на софтуера за сигурност, тъй като зловредният код е замаскиран и се декодира само при визуализиране в браузъра.

ISO файлът съдържа нещо, което изглежда като девет PNG изображения, но в действителност са LNK файлове, които задействат веригата на заразяване, показана на схемата по-долу.

Когато жертвата отвори някой от LNK файловете, представящи се за PNG изображения, тя стартира легитимен изпълним файл, който използва странично зареждане на DLL, за да инжектира shellcode в паметта на текущия процес.

Unit 42 съобщава, че тази кампания е била насочена към поне 22 от 80-те чуждестранни мисии в Киев, включително тези на САЩ, Канада, Турция, Испания, Нидерландия, Гърция, Естония и Дания. Процентът на заразяване обаче остава неизвестен.

Около 80% от имейл адресите, които са получили злонамерената листовка, са били публично достъпни онлайн, а APT29 трябва да е набавила останалите 20% чрез компрометиране на акаунти и събиране на разузнавателна информация.

Друг скорошен пример за готовността на APT29 да използва реални инциденти за фишинг е PDF файл, изпратен до турското Министерство на външните работи (МВнР) в началото на 2023 г., насочващ към хуманитарна помощ за земетресението, което засегна Южна Турция през февруари.

Unit 42 коментира, че зловредният PDF вероятно е бил споделен сред служителите на МВнР и препратен на други турски организации, тъй като атаката се е възползвала от отличното време.

Тъй като конфликтът в Украйна продължава, а развитието на събитията в рамките на НАТО заплашва да промени геополитическия пейзаж, се очаква руските групи за кибершпионаж да продължат и дори да увеличат усилията си да атакуват дипломатически мисии.

Източник: По материали от Интернет

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
Бъдете социални
Още по темата
16/05/2024

Украински и латвийски телев...

Само в Украйна бяха прекъснати поне...
10/05/2024

Полша твърди, че руски воен...

Полша съобщава, че подкрепяна от държавата...
07/05/2024

Amnesty International посоч...

Нарастващото количество технологии за наблюдение, които...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!