Руският национален агент за заплахи, известен като APT28, е наблюдаван да използва примамки, свързани с продължаващата война между Израел и Хамас, за да улесни доставката на персонализирана задна врата, наречена HeadLace.

IBM X-Force проследява противника под името ITG05, който е известен още като BlueDelta, Fancy Bear, Forest Blizzard (по-рано Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy и TA422.

„Новооткритата кампания е насочена срещу цели, базирани в поне 13 държави по света, и използва автентични документи, създадени от академични, финансови и дипломатически центрове“, заявиха изследователите по сигурността Голо Мюр, Клер Забоева и Джо Фасуло.

„Инфраструктурата на ITG05 гарантира, че само цели от една конкретна държава могат да получат зловредния софтуер, което показва високоцелевия характер на кампанията.“

Целите на кампанията включват Унгария, Турция, Австралия, Полша, Белгия, Украйна, Германия, Азербайджан, Саудитска Арабия, Казахстан, Италия, Латвия и Румъния.

Кампанията включва използването на примамки, които имат за цел да откроят предимно европейски структури с „пряко влияние върху разпределянето на хуманитарна помощ“, като се използват документи, свързани с ООН, Банката на Израел, Изследователската служба на Конгреса на САЩ, Европейския парламент, украински мозъчен тръст и Междуправителствена комисия Азербайджан-Беларус.

Установено е, че при някои от атаките се използват архиви RAR, използващи дефекта в WinRAR, наречен CVE-2023-38831, за разпространение на HeadLace – задна врата, която за първи път беше разкрита от Екипа за реагиране при компютърни инциденти в Украйна (CERT-UA) при атаки, насочени към критичната инфраструктура в страната.

Струва си да се отбележи, че в края на септември 2023 г. Zscaler разкри подобна кампания, наречена Steal-It, която привличаше мишените със съдържание за възрастни, за да ги накара да се разделят с поверителна информация.

Разкритието идва седмица след като Microsoft, Palo Alto Networks Unit 42 и Proofpoint подробно описаха използването от страна на заплахата на критичен недостатък в сигурността на Microsoft Outlook (CVE-2023-23397, CVSS оценка: 9,8) за получаване на неоторизиран достъп до акаунтите на жертвите в сървърите Exchange.

Следователно разчитането на официални документи като примамка бележи отклонение от наблюдаваната преди това дейност, „което е показателно за засиления акцент на ITG05 върху уникална целева аудитория, чиито интереси биха подтикнали към взаимодействие с материали, оказващи влияние върху създаването на нови политики“.

„Много е вероятно компрометирането на който и да е ешелон на глобалните външнополитически центрове да подпомогне интересите на длъжностните лица с разширено вникване в критичната динамика, свързана с подхода на Международната общност (МС) към конкуриращите се приоритети за сигурност и хуманитарна помощ“, казват изследователите.

Разработката идва в момент, в който CERT-UA свързва субекта на заплаха, известен като UAC-0050, с масирана имейл базирана фишинг атака срещу Украйна и Полша, използваща Remcos RAT и Meduza Stealer.