Компьютерная экстренная реакция Украины (CERT-UA) недавно предупредила о кибершпионской кампании, нацеленной на государственные органы в стране. Участник угрозы, идентифицированный как UAC-0063 с 2021 года, считается организатором атаки, которая использует приманки для фишинга для развертывания вредоносных инструментов на инфицированных системах. Электронные письма, отправленные с ранее скомпрометированного почтового ящика, маскируются под сообщения, исходящие от Посольства Таджикистана в Украине, и включают вложенный документ Microsoft Word с закодированным VBScript под названием HATVIBE. Этот скрипт используется для распространения дополнительного вредоносного ПО, такого как кейлоггер (LOGPIE), Python-основанная “задняя дверь” (CHERRYSPY) и инструмент для эксфильтрации определенных файлов (STILLARCH или DownEx). Стоит отметить, что использование DownEx было задокументировано Bitdefender как используемое в целенаправленных атаках против государственных органов в Казахстане и Афганистане. Происхождение хакерской группы остается неизвестным, однако CERT-UA предполагает, что группа нацеливается на организации из Монголии, Казахстана, Киргизии, Израиля и Индии. Поскольку Microsoft по умолчанию отключила эту функцию в файлах Office, загруженных из Интернета, некоторые участники угроз начали экспериментировать и адаптировать свои цепочки атак и механизмы доставки полезной нагрузки, чтобы включить необычные типы файлов (CHM, ISO, LNK, VHD, XLL и WSF) и такие техники, как контрабанда HTML. Proofpoint наблюдала за тем, как многие брокеры начального доступа (IABs) использовали файлы PDF и OneNote с декабря 2022 года, что указывает на быстрый темп изменений для многих участников угроз. Это говорит о том, что они способны быстро разрабатывать и применять новые техники и больше не полагаются на одну или несколько техник.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.