05/04/22
В середине марта 2022 года по меньшей мере три различные APT-группировки со всего мира запустили кампании целенаправленного фишинга, воспользовавшись военным конфликтом на территории Украины в качестве приманки для распространения вредоносного ПО и кражи конфиденциальной информации.
Кампании, проводимые группировками El Machete, Lyceum и SideWinder, нацелены на различные сектора, включая энергетический, финансовый и государственный секторы в Никарагуа, Венесуэле, Израиле, Саудовской Аравии и Пакистане.
Злоумышленники используют приманки в виде официально выглядящих документов, новостных статей или даже объявлений о вакансиях, в зависимости от целей и региона. По словам ИБ-экспертов из Check Point Research, многие документы-приманки используют вредоносные макросы или внедрение шаблонов с целью закрепиться на системах в определенных организациях, а затем запустить вредоносные атаки и установить троян для удаленного доступа с открытым исходным кодом Loki.Rat.
Одна из кампаний организована иранской APT-группировкой Lyceum. Хакеры использовали в ходе своих атак электронного письма, якобы рассказывающие о «российских военных преступлениях в Украине». Письма на самом деле устанавливают на системе жертвы загрузчики на языке .NET и Golang, которые затем используются для развертывания бэкдора с удаленного сервера.
Еще одним примером является SideWinder, предположительно действующая в поддержку политических интересов Индии. В данном случае киберпреступники использовали вредоносный документ для эксплуатации уязвимости Equation Editor в Microsoft Office (CVE-2017-11882) и дальнейшего распространения вредоносного ПО для кражи информации.
