2021-05-28 21:33:06
Сегодня New York Times пишет о "руских хакерах", которые в начале этой недели рассылали ссылки на скачивание вируса с адреса Агентства по Международному Развитию США (USAID) на 3000 ящиков в 150 правозащитных, некоммерческих, исследовательских, государственных и международных организациях. Согласно техническому отчету фирмы Volexity, жертва должна скачать и запустить малварь вручную, и работает это только под Windows. То есть фактически особенность атаки только то, что письма приходили с реальных адресов USAID (на скриншоте в техническом отчете виден адрес ashainfo@usaid.gov) по реальному списку рассылки.
Если вкратце, хакеры поломали внешний сервис email рассылок, которым пользовался USAID, разослали письма со ссылкой на скачивание из интернета ISO файла ("ICA-declass.iso"), а в нем какой-то безвредный pdf, и файлы Reports.lnk и Documents.dll. Жертва должна скачать и открыть файл ISO на Windows, потом щелкнуть на *.LNK, запустится *.DLL, а там лежит известный коммерческий инструмент для пентестеров Cobalt Strike Beacon, который в данном случае используется как малварь. После заражения он связывается с удаленным сервером, что дальше происходит, исследователи пока анализируют. New York Times со ссылкой на Microsoft считает, что это работа российской группы Nobellium, то есть той же группы, которая недавно громко ломала SolarWinds. В отчете есть список файлов и список доменов, на которые ходит малварь.
Если вы админ правозащитной организации - идите проверять логи и поговорите с пользователями еще раз, чтобы не скачивали вирусов. Дорогие пользователи, пожалуйста, не скачивайте и не запускайте вирусы, даже если лично Илон Маск попросит вас это сделать.
91 views18:33