На прошлой неделе эксперты Microsoft заявили, что российская хакерская группа APT29 (она же Cozy Bear, Dukes, Nobelium), стоявшая за атакой на SolarWinds, атаковала Агентство США по международному развитию, использовав в этой кампании четыре новых семейства малвари.
Хакеры скомпрометировали учетную запись агентства в Contact Contact, а затем использовали этот аккаунт, чтобы выдавать себя за его представителей в фишинговых письмах, которые выглядели аутентичными. Суммарно злоумышленники отправили фишинговые послания примерно на 3000 учетных записей более чем в 150 организациях, включая правительственные учреждения и организации, занимающиеся международным развитием, гуманитарной и правозащитной деятельностью.
Как теперь сообщают в ФБР и Минюсте, им удалось захватить два домена, которыми хак-группа пользовалась во время этих атак.
«После того, как получатель фишингового письма кликал по гиперссылке, компьютер жертвы загружал вредоносное ПО с поддомена theyardservice[.]com. Используя эту точку опоры, преступники загружали инструмент Cobalt Strike, чтобы поддерживать постоянное присутствие в системе, а также, вероятно устанавливали дополнительные инструменты и вредоносное ПО в сети жертв. Установка Cobalt Strike связывалась с C&C-сервером через другие поддомены theyardservice[.]com, а также домен worldhomeoutlet[.]com», — пишут специалисты Министерства юстиции.
Получив постановление суда, власти изъяли эти два домена, чтобы заблокировать злоумышленникам возможность заражать новые системы и взаимодействовать с ранее зараженными хостами.