Информационная безопасностьНовости

«Правительственные» хакеры атаковали ИБ-экспертов с помощью спама и банальных вредоносных документов

Эксперты Cisco Talos рассказали о весьма странной таргетированной атаке, ответственность за которую лежит на предположительно российских «правительственных» хакерах из группы APT28, также известной под названиями Fancy Bear, Sofacy, Group 74, Sednit, Tsar Team и Strontium.

Исследователи пишут, что вредоносная кампания была развернута против ИБ-специалистов, которых могли заинтересовать новости американской конференции CyCon, организаторами которой  выступают Центр передового опыта по совместной защите от киберугроз НАТО (NATO Cooperative Cyber Defence Centre of Excellence, CCDCOE), совместно с Армеским киберинститутом при Военной академии США (Army Cyber Institute at West Point).

Для реализации атаки хакеры создали вредоносные документы, содержание которых было скопировано с официального сайта CyCon. Очевидно, злоумышленники сочли, что анонс мероприятия, ориентированного на специалистов по информационной безопасности, в данном случае станет хорошей наживкой.

«Правительственные» хакеры атаковали ИБ-экспертов с помощью спама и банальных вредоносных документов
Фишинговое послание

При этом, будто забыв о том, что атаковать нужно людей, для которых информационная безопасность – это основная работа, злоумышленники не использовали во время данной кампании 0-day уязвимости и многоуровневые, сложные схемы. Вместо этого APT28 попыталась заразить ИБ-специалистов малварью Seduploader, попросту разослав им письма, в которых содержались вредоносные документы Office с VBA-скриптами. Как уже было сказано выше, речь в этих документах шла о конференции CyCon. Но вряд ли у многих специалистов есть привычка открывать вложения из всех писем подряд, а в Word разрешена работа макросов.

Seduploader – достаточно известный бэкдор, который ранее уже попадал в поле зрения исследователей и был классифицирован, как один из инструментов APT28. Вредонос способен делать снимки экрана зараженного устройства, собирать и передавать на управляющий сервер информацию о системе, а также загружать файлы и выполнять код.

Вчера, 23 октября 2017 года, на официальном сайте конференции CyCon появилось предупреждение о вредоносной кампании злоумышленников. Организаторы пишут, что атакующие определенно хотели воспользоваться репутацией мероприятия, чтобы скомпрометировать высокопоставленных лиц и экспертов в области ИБ.