Хакеры атаковали чиновников и оборонные компании в Западной Азии
Высокопоставленные правительственные чиновники и крупные компании оборонной промышленности в Западной Азии стали целью вредоносной кампании с использованием вредоносного ПО Graphite. По словам специалистов из компании Trellix (появившейся в результате слияния McAfee Enterprise и FireEye), кампания проводилась с октября по ноябрь прошлого года и была разделена на несколько этапов с целью избежать обнаружения. Цепочка заражения началась с загрузчика Microsoft Excel, использующего уязвимость в MSHTML (CVE-2021-40444) для выполнения кода в памяти, и продолжилась вредоносным ПО под названием Graphite. Как предполагают исследователи, атаки могут быть связаны с группировкой APT28 (также известной как Fancy Bear, Pawn Storm, Sednit, Strontium и Tsar Team). Основываясь на анализе многочисленных артефактов, связанных с этими атаками, исследователи выявили совпадения с более старыми образцами вредоносного ПО группировки APT28. Тем не менее эксперты не нашли однозначных свидетельств того, что кампания связана с данными злоумышленниками. Киберпреступники настроили командный сервер Empire в июле 2021 года. Вредоносное ПО Graphite использует в качестве командного сервера OneDrive и использует Microsoft Graph API для подключения к нему. Файл Microsoft Excel, предположительно отправленный жертвам по электронной почте, использовался для эксплуатации уязвимости удаленного выполнения кода в MSHTML и дальнейшего запуска вредоносного DLL-файла, который извлекал и запускал вредоносное ПО Graphite. На четвертом этапе атаки выполнялись различные процессы для загрузки агента Empire на устройство жертвы. Пятым этапом атаки являлся Empire PowerShell C#, за которым следовал этап Empire HTTP PowerShell. Атаки были нацелены на правительственные организации и частных лиц, связанных с оборонной промышленностью в Азии. Однако, эксперты предполагают, что целью атак могли стать Польша и другие страны Восточной Европы.
Похожие новости
- 24 Янв, 06:19
BlackRock запускает ETF на акции криптовалютных компаний
iShares, дочерняя компания крупнейшей фирмы по управлению капиталом BlackRock, подала заявку на запуск биржевого фонда, который будет отслеживать акции «фирм в сфере блокчейна и криптовалют». Согласно документу, акции фонда iShares Blockchain and Tec...
Cегодня
-
14:44 СМИ: OpenAI запланировала запуск ИИ-агента
-
14:37 В Украине депутату дали восемь лет за попытку биткоин-взятки
-
14:29 ФБР провело обыск в доме гендиректора криптототализатора Polymarket
-
12:52 Трейдер потерял $25,8 млн из-за ошибки в адресе
-
12:45 BlackRock интегрировал BUIDL c Aptos, Arbitrum, Avalanche, Optimism и Polygon
-
12:44 OKX анонсировала премаркет токена MAJOR
-
12:22 CEO Anthropic спрогнозировал появление сверхразумного ИИ в течение трех лет
-
11:04 Ethereum-разработчики представили «умные транзакции»
