Хакеры атаковали западных дипломатов через объявление о продаж | TESTLAND - overbafer1
Хакеры атаковали западных дипломатов через объявление о продаже BMW.
Группа хакеров APT29, также известная как Nobelium и Cloaked Ursa, продолжает улучшать свои фишинговые атаки и использовать более персонализированные уловки. В последней атаке, замеченной исследователями в мае 2023 года, они обратились к дипломатам, работающим в Киеве, при помощи объявления о продаже BMW.
Хакеры отправляли сообщения на электронные адреса дипломатов, имитируя реальное объявление о продаже авто, которое ранее было распространено польским дипломатом, который готовился покинуть Украину. Сообщение содержало ссылку на вредоносный документ, обещающий дополнительные фотографии автомобиля.
Если получатель кликал на ссылку, его перенаправляли на HTML-страницу, которая доставляла вредоносный пейлоад в формате ISO в систему жертвы с использованием техники HTML smuggling. После открытия любого из LNK-файлов жертва запускала легитимный исполняемый файл, который использовал DLL side-loading для внедрения шелл-кода в текущий процесс в памяти.
