Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Новая тактика Nobelium делает кибератаки практически незаметными

21/07/22

Хакеры из Nobelium (она же APT29 или Cozy Bear ) пользуются доверием пользователей к облачным сервисам хранения данных и используют их для распространения вредоносного ПО. Такая тактика делает крайне усложняет обнаружение и остановку кибератаки.

pasted image 0 (17)

Согласно сообщению аналитиков Unit 42 ( Palo Alto Networks ), группировка применила новую тактику в своих последних кампаниях, направленных на западные дипломатические представительства и иностранные посольства по всему миру с начала мая по июнь 2022 года.

В своих последних атаках Nobelium использует фишинговые сообщения со ссылкой на вредоносный HTML-файл под названием agenda.html, который выступает в качестве дроппера для дополнительной вредоносной полезной нагрузки, включающей в себя маяк Cobalt Strike. Этот HTML-файл является инструментом EnvyScout, который используется для заражения жертвы другим вредоносным ПО.

Nobelium применяет EnvyScout для деобфускации полезной нагрузки, а также для загрузки вредоносного ISO-файла (agenda.iso) на жесткий диск жертвы. После загрузки ISO-файла жертва должна кликнуть по нему, а потом и появившемуся lnk-файлу, чтобы запустить вредоносный код и цепочку заражения на своей системе.

“Популярность облачного сервиса хранения данных от Google, а также доверие к нему миллионов пользователей по всему миру делает использование таких сервисов для доставки вредоносного ПО от этой APT крайне тревожным”, – сказали аналитики.

Темы:УгрозыAPT-группыОблачные сервисыPalo Alto Unit 47
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...