Руската държавно спонсорирана хакерска група „APT29“ (известна още като Nobelium, Cloaked Ursa) използва нетрадиционни примамки като обяви за коли, за да подмами дипломати в Украйна да кликнат върху зловредни връзки, които доставят зловреден софтуер.

APT29 е свързана със Службата за външно разузнаване (СВР) на руското правителство и е отговорна за многобройни кампании за кибершпионаж, насочени към високопоставени лица по целия свят.

През последните две години руските хакери се фокусираха върху цели от НАТО, ЕС и Украйна, като използваха фишинг имейли и документи с външнополитическа тематика, както и фалшиви уебсайтове, за да заразят целите си със скрити задни врати.

В доклад, публикуван днес от екипа на Palo Alto Network Unit 42, се обяснява, че APT29 е развила тактиката си за фишинг, като използва примамки, които са по-лични за получателя на фишинг имейла.

Луксозни автомобили в Киев

В една от последните операции на APT29, забелязани от Unit 42, която започва през май 2023 г., участниците в заплахата използват реклама на автомобил BMW, за да се насочат към дипломати в столицата на Украйна, Киев.

Листовката за продажба е изпратена до имейл адресите на дипломатите, имитирайки легитимна продажба на автомобил, разпространена две седмици преди това от полски дипломат, който се подготвя да напусне Украйна.

Когато получателите кликнат върху връзката „още висококачествени снимки“, вградена в злонамерения документ, те се пренасочват към HTML страница, която доставя злонамерен полезен товар от ISO файлове чрез контрабанда на HTML.

Контрабандата на HTML е техника, използвана във фишинг кампаниите, при които се използват HTML5 и JavaScript, за да се скрият зловредни полезни товари в кодирани низове в HTML прикачен файл или уебстраница. След това тези низове се декодират от браузъра, когато потребителят отвори прикачения файл или кликне върху връзка.

Използването на тази техника помага за избягване на софтуера за сигурност, тъй като зловредният код е замаскиран и се декодира само при визуализиране в браузъра.

ISO файлът съдържа нещо, което изглежда като девет PNG изображения, но в действителност са LNK файлове, които задействат веригата на заразяване, показана на схемата по-долу.

Когато жертвата отвори някой от LNK файловете, представящи се за PNG изображения, тя стартира легитимен изпълним файл, който използва странично зареждане на DLL, за да инжектира shellcode в паметта на текущия процес.

Unit 42 съобщава, че тази кампания е била насочена към поне 22 от 80-те чуждестранни мисии в Киев, включително тези на САЩ, Канада, Турция, Испания, Нидерландия, Гърция, Естония и Дания. Процентът на заразяване обаче остава неизвестен.

Около 80% от имейл адресите, които са получили злонамерената листовка, са били публично достъпни онлайн, а APT29 трябва да е набавила останалите 20% чрез компрометиране на акаунти и събиране на разузнавателна информация.

Друг скорошен пример за готовността на APT29 да използва реални инциденти за фишинг е PDF файл, изпратен до турското Министерство на външните работи (МВнР) в началото на 2023 г., насочващ към хуманитарна помощ за земетресението, което засегна Южна Турция през февруари.

Unit 42 коментира, че зловредният PDF вероятно е бил споделен сред служителите на МВнР и препратен на други турски организации, тъй като атаката се е възползвала от отличното време.

Тъй като конфликтът в Украйна продължава, а развитието на събитията в рамките на НАТО заплашва да промени геополитическия пейзаж, се очаква руските групи за кибершпионаж да продължат и дори да увеличат усилията си да атакуват дипломатически мисии.

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
24 януари 2025

Axoflow набира 7 млн. долара за платформа за ку...

Платформата за куриране на данни за сигурността Axoflow обяви в сря...
Бъдете социални
Още по темата
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
20/01/2025

FCC с отговор на хакерските...

Федералната комисия по комуникациите прие декларативно...
20/01/2025

TikTok възстановява услугат...

TikTok възстанови услугите си за потребителите...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!