Хакеры атаковали чиновников и оборонные компании в Западной Азии
Высокопоставленные правительственные чиновники и крупные компании оборонной промышленности в Западной Азии стали целью вредоносной кампании с использованием вредоносного ПО Graphite. По словам специалистов из компании Trellix (появившейся в результате слияния McAfee Enterprise и FireEye), кампания проводилась с октября по ноябрь прошлого года и была разделена на несколько этапов с целью избежать обнаружения. Цепочка заражения началась с загрузчика Microsoft Excel, использующего уязвимость в MSHTML (CVE-2021-40444) для выполнения кода в памяти, и продолжилась вредоносным ПО под названием Graphite. Как предполагают исследователи, атаки могут быть связаны с группировкой APT28 (также известной как Fancy Bear, Pawn Storm, Sednit, Strontium и Tsar Team). Основываясь на анализе многочисленных артефактов, связанных с этими атаками, исследователи выявили совпадения с более старыми образцами вредоносного ПО группировки APT28. Тем не менее эксперты не нашли однозначных свидетельств того, что кампания связана с данными злоумышленниками. Киберпреступники настроили командный сервер Empire в июле 2021 года. Вредоносное ПО Graphite использует в качестве командного сервера OneDrive и использует Microsoft Graph API для подключения к нему. Файл Microsoft Excel, предположительно отправленный жертвам по электронной почте, использовался для эксплуатации уязвимости удаленного выполнения кода в MSHTML и дальнейшего запуска вредоносного DLL-файла, который извлекал и запускал вредоносное ПО Graphite. На четвертом этапе атаки выполнялись различные процессы для загрузки агента Empire на устройство жертвы. Пятым этапом атаки являлся Empire PowerShell C#, за которым следовал этап Empire HTTP PowerShell. Атаки были нацелены на правительственные организации и частных лиц, связанных с оборонной промышленностью в Азии. Однако, эксперты предполагают, что целью атак могли стать Польша и другие страны Восточной Европы.
Похожие новости
- 24 Янв, 06:19
BlackRock запускает ETF на акции криптовалютных компаний
iShares, дочерняя компания крупнейшей фирмы по управлению капиталом BlackRock, подала заявку на запуск биржевого фонда, который будет отслеживать акции «фирм в сфере блокчейна и криптовалют». Согласно документу, акции фонда iShares Blockchain and Tec...
В мире за неделю
-
6 Июн, 05:20+4 Разработчики Ethereum закрыли Linea — можно ли доверять сетям уровня 2?
-
6 Июн, 05:07+4 Bitwise: Цифровые валюты привлекут триллионы долларов
-
6 Июн, 02:30+5 ФБР предупреждает о мошенничествах с криптовалютой на фальшивых работах из дома
-
4 Июн, 07:58+4 Бизнесменам на заметку: майнинг может стать новым видом экономической деятельности
-
2 Июн, 13:40+7 Британский банк Kroo решил запретить своим клиентам совершать транзакции с криптовалютой
-
27 Май, 16:30+4 Почему Ethereum (ETH) будет расти
-
24 Май, 13:50+6 Материал Центробанк не видит массового инвестирования в криптовалюты, портал ПЛАС
