Търсене
Close this search box.

Руската държавно спонсорирана хакерска група „APT29“ (известна още като Nobelium, Cloaked Ursa) използва нетрадиционни примамки като обяви за коли, за да подмами дипломати в Украйна да кликнат върху зловредни връзки, които доставят зловреден софтуер.

APT29 е свързана със Службата за външно разузнаване (СВР) на руското правителство и е отговорна за многобройни кампании за кибершпионаж, насочени към високопоставени лица по целия свят.

През последните две години руските хакери се фокусираха върху цели от НАТО, ЕС и Украйна, като използваха фишинг имейли и документи с външнополитическа тематика, както и фалшиви уебсайтове, за да заразят целите си със скрити задни врати.

В доклад, публикуван днес от екипа на Palo Alto Network Unit 42, се обяснява, че APT29 е развила тактиката си за фишинг, като използва примамки, които са по-лични за получателя на фишинг имейла.

Луксозни автомобили в Киев

В една от последните операции на APT29, забелязани от Unit 42, която започва през май 2023 г., участниците в заплахата използват реклама на автомобил BMW, за да се насочат към дипломати в столицата на Украйна, Киев.

Листовката за продажба е изпратена до имейл адресите на дипломатите, имитирайки легитимна продажба на автомобил, разпространена две седмици преди това от полски дипломат, който се подготвя да напусне Украйна.

Когато получателите кликнат върху връзката „още висококачествени снимки“, вградена в злонамерения документ, те се пренасочват към HTML страница, която доставя злонамерен полезен товар от ISO файлове чрез контрабанда на HTML.

Контрабандата на HTML е техника, използвана във фишинг кампаниите, при които се използват HTML5 и JavaScript, за да се скрият зловредни полезни товари в кодирани низове в HTML прикачен файл или уебстраница. След това тези низове се декодират от браузъра, когато потребителят отвори прикачения файл или кликне върху връзка.

Използването на тази техника помага за избягване на софтуера за сигурност, тъй като зловредният код е замаскиран и се декодира само при визуализиране в браузъра.

ISO файлът съдържа нещо, което изглежда като девет PNG изображения, но в действителност са LNK файлове, които задействат веригата на заразяване, показана на схемата по-долу.

Когато жертвата отвори някой от LNK файловете, представящи се за PNG изображения, тя стартира легитимен изпълним файл, който използва странично зареждане на DLL, за да инжектира shellcode в паметта на текущия процес.

Unit 42 съобщава, че тази кампания е била насочена към поне 22 от 80-те чуждестранни мисии в Киев, включително тези на САЩ, Канада, Турция, Испания, Нидерландия, Гърция, Естония и Дания. Процентът на заразяване обаче остава неизвестен.

Около 80% от имейл адресите, които са получили злонамерената листовка, са били публично достъпни онлайн, а APT29 трябва да е набавила останалите 20% чрез компрометиране на акаунти и събиране на разузнавателна информация.

Друг скорошен пример за готовността на APT29 да използва реални инциденти за фишинг е PDF файл, изпратен до турското Министерство на външните работи (МВнР) в началото на 2023 г., насочващ към хуманитарна помощ за земетресението, което засегна Южна Турция през февруари.

Unit 42 коментира, че зловредният PDF вероятно е бил споделен сред служителите на МВнР и препратен на други турски организации, тъй като атаката се е възползвала от отличното време.

Тъй като конфликтът в Украйна продължава, а развитието на събитията в рамките на НАТО заплашва да промени геополитическия пейзаж, се очаква руските групи за кибершпионаж да продължат и дори да увеличат усилията си да атакуват дипломатически мисии.

Източник: По материали от Интернет

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
Бъдете социални
Още по темата
10/09/2024

Полша предотвратява руски и...

В понеделник полските служби за сигурност...
06/09/2024

Индийска пропаганда се разп...

След три години работа е разкрита...
05/09/2024

Руското подразделение на ГР...

Според съвместна консултация на правителството на...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!