Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Новая тактика Nobelium делает кибератаки практически незаметными

21/07/22

Хакеры из Nobelium (она же APT29 или Cozy Bear ) пользуются доверием пользователей к облачным сервисам хранения данных и используют их для распространения вредоносного ПО. Такая тактика делает крайне усложняет обнаружение и остановку кибератаки.

pasted image 0 (17)

Согласно сообщению аналитиков Unit 42 ( Palo Alto Networks ), группировка применила новую тактику в своих последних кампаниях, направленных на западные дипломатические представительства и иностранные посольства по всему миру с начала мая по июнь 2022 года.

В своих последних атаках Nobelium использует фишинговые сообщения со ссылкой на вредоносный HTML-файл под названием agenda.html, который выступает в качестве дроппера для дополнительной вредоносной полезной нагрузки, включающей в себя маяк Cobalt Strike. Этот HTML-файл является инструментом EnvyScout, который используется для заражения жертвы другим вредоносным ПО.

Nobelium применяет EnvyScout для деобфускации полезной нагрузки, а также для загрузки вредоносного ISO-файла (agenda.iso) на жесткий диск жертвы. После загрузки ISO-файла жертва должна кликнуть по нему, а потом и появившемуся lnk-файлу, чтобы запустить вредоносный код и цепочку заражения на своей системе.

“Популярность облачного сервиса хранения данных от Google, а также доверие к нему миллионов пользователей по всему миру делает использование таких сервисов для доставки вредоносного ПО от этой APT крайне тревожным”, – сказали аналитики.

Темы:Облачные технологииУгрозыAPT-группыPalo Alto Unit 47
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...