Эксперты Cisco Talos рассказали о весьма странной таргетированной атаке, ответственность за которую лежит на предположительно российских «правительственных» хакерах из группы APT28, также известной под названиями Fancy Bear, Sofacy, Group 74, Sednit, Tsar Team и Strontium.

Исследователи пишут, что вредоносная кампания была развернута против ИБ-специалистов, которых могли заинтересовать новости американской конференции CyCon, организаторами которой  выступают Центр передового опыта по совместной защите от киберугроз НАТО (NATO Cooperative Cyber Defence Centre of Excellence, CCDCOE), совместно с Армеqским киберинститутом при Военной академии США (Army Cyber Institute at West Point).

Для реализации атаки хакеры создали вредоносные документы, содержание которых было скопировано с официального сайта CyCon. Очевидно, злоумышленники сочли, что анонс мероприятия, ориентированного на специалистов по информационной безопасности, в данном случае станет хорошей наживкой.

Фишинговое послание

При этом, будто забыв о том, что атаковать нужно людей, для которых информационная безопасность – это основная работа, злоумышленники не использовали во время данной кампании 0-day уязвимости и многоуровневые, сложные схемы. Вместо этого APT28 попыталась заразить ИБ-специалистов малварью Seduploader, попросту разослав им письма, в которых содержались вредоносные документы Office с VBA-скриптами. Как уже было сказано выше, речь в этих документах шла о конференции CyCon. Но вряд ли у многих специалистов есть привычка открывать вложения из всех писем подряд, а в Word разрешена работа макросов.

Seduploader – достаточно известный бэкдор, который ранее уже попадал в поле зрения исследователей и был классифицирован, как один из инструментов APT28. Вредонос способен делать снимки экрана зараженного устройства, собирать и передавать на управляющий сервер информацию о системе, а также загружать файлы и выполнять код.

Вчера, 23 октября 2017 года, на официальном сайте конференции CyCon появилось предупреждение о вредоносной кампании злоумышленников. Организаторы пишут, что атакующие определенно хотели воспользоваться репутацией мероприятия, чтобы скомпрометировать высокопоставленных лиц и экспертов в области ИБ.

1 комментарий

  1. Аватар

    john_

    05.11.2017 at 06:54

    Мда. Ну надо думать головой, а не только СИ

Оставить мнение