Mandiant: группировка APT29 атакует посольства

Дата: 02.05.2022. Автор: Артем П. Категории: Новости по информационной безопасности
Mandiant: группировка APT29 атакует посольства
Изображение: xusenru (pixabay)

Специалисты по кибербезопасности компании Mandiant выявили новую фишинговую кампанию «русских хакеров» из группировки APT29 (известной как Nobelium, Cozy Bear), которая нацелена на дипломатов и правительственные учреждения, сообщает Bleeping Computer.

В рамках новой фишинговой кампании, как отмечают в Mandiant, злоумышленники рассылают электронные письма дипломатам и сотрудникам разных правительственных учреждений. Интересно, что письма исходят с легальных email-адресов, которые принадлежат посольствам разных стран. Ещё одним примечательным аспектом этой киберпреступной кампании является злоупотребление Atlassian Trello и иными легитимными платформами облачных сервисов для управления и контроля (C2).

В Mandiant говорят, что выявленная кампания целевого фишинга началась в январе 2022 года и продолжалась до марта 2022 года несколькими волнами в соответствии с наиболее актуальными темами текущей геополитической повестки.

«Во всех случаях фишинговые email-письма отправлялись с законного, но скомпрометированного хакерами email-адреса, чаще всего принадлежащего дипломату. Поэтому получатели доверяют контенту, который им доставляется таким образом», – заявили в Mandiant.

В электронном письме использовался метод контрабанды HTML для доставки файла IMG или ISO получателю. Это метод, который группировка APT29 неоднократно использовала в прошлом с большим успехом, в том числе в атаках компанию SolarWinds.

Архив ISO содержит файл ярлыка Windows (LNK), который запускает встроенный вредоносный DLL-файл при нажатии. Чтобы заставить жертву запустить, файл LNK имеет вид файла документа со скрытым реальным расширением и поддельным значком.

Выполнение DLL приводит к доставке загрузчика BEATDROP, который запускается в памяти после создания приостановленного потока для внедрения в него и подключается к Trello для связи C2.

«Несмотря на постоянное и тщательное отслеживание действий группировка APT29 компетентными группами по анализу угроз, она остаётся шпионской угрозой высшего уровня для целей, представляющих большой интерес», – резюмировали в Mandiant.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.