Статті

Российские хакеры из APT28 атаковали экспертов НАТО по принципу «на авось»

25 октября, 2017. 10:10 Владимир Смирнов
Исследователи Cisco Talos обнаружили атаку российских кибершпионов с помощью фишинга, содержащего документы, ссылающиеся на конференцию НАТО по кибербезопасности.

По мнению Talos за атакой стоит российская группа APT28, также известная как Pawn Storm, Fancy Bear, Sofacy, Group 74, Sednit, Tsar Team и Strontium. Их целью стали люди, интересующиеся конференцией CyCon по кибербезопасности, организованной НАТО. APT28, спонсируемые РФ, использовали документы с контентом, скопированным с официального сайта CyCon в качестве приманки.

«Нам удалось обнаружить новую вредоносную кампанию группы APT28. Интересно, что документ, использующийся в качестве приманки, является поддельным флаером с конференции по кибербезопасности CyCon, организованной НАТО. Судя по всему, эта кампания нацелена на людей, интересующихся кибербезопасностью», - сказано в отчете Cisco Talos.

Уже не первый раз конференции по кибербезопасности используют в качестве приманки в операциях киберпреступников. В прошлом году китайская кибер-шпионская группа Lotus Blossom пыталась атаковать пользователей с помощью поддельного приглашения на саммит по кибербезопасности от Palo Alto Networks.

В последней кампании злоумышленники не использовали уязвимости нулевого дня – они полагались на документы Office, содержащие сценарии VBA, используемые для доставки нового варианта Seduploader (также известного как бэкдор GAMEFISH, Sednit, JHUHUGIT и Sofacy). Seduploader использовался и в других атаках против НАТО группой APT28. Он состоит он из двух файлов: дроппера и самой вредоносной нагрузки.

Информация об обнаруженной атаке была опубликована на сайте центра киберзащиты НАТО: «Информация с нашего сайта была использована с целью заражения пользователей вредоносной программой. Это атака, когда легитимная информация используется для привлечения внимания».

Звучит весьма серьезно, если бы не одно обстоятельство. Участники конференции, на которых была нацелена кибератака, являются экспертами в области кибербезопасности и «велика вероятность того», что они знают, что такое фишинг, вредоносное ПО и т.д. Для такой аудитории рассылки фишинговых писем с документами Word, содержащими макросы, может оказаться недостаточно.

Скорее всего, после приступа веселья, эксперты НАТО по безопасности разрешили выполнение макроса в изолированной среде, чтобы убедиться в загрузке и установке Seduploader.

Сейчас сложно поверить что у этой атаки были шансы на успех. 

Материалы по теме:
Комментарии: