Продолжающаяся кампания, нацеленная на министерства иностранных дел стран, входящих в НАТО, указывает на причастность к этому российских хакеров.
Особенности атаки

В фишинговых атаках используются PDF-документы с дипломатическими приманками, некоторые из которых замаскированы под сообщения из Германии, для доставки варианта вредоносного ПО под названием Duke, которое было приписано APT29 (он же BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard и The Dukes).


«Злоумышленник использовал Zulip — чат-приложение с открытым исходным кодом — для управления и контроля, чтобы уклоняться от своих действий и скрывать их за законным веб-трафиком», — заявила голландская компания по кибербезопасности EclecticIQ в анализе, проведенном на прошлой неделе.
Последовательность заражения следующая: вложение в формате PDF под названием «Прощание с послом Германии» содержит код JavaScript, который инициирует многоэтапный процесс, чтобы оставить постоянный бэкдор в скомпрометированных сетях.
Были ли подобные атаки ранее

Об использовании APT29 тем приглашений ранее сообщал Lab52, который задокументировал атаку, которая выдавала себя за норвежское посольство для доставки полезной нагрузки DLL, способной связаться с удаленным сервером для получения дополнительных полезных данных.
Использование домена «bahamas.gov[.]bs» в обоих наборах вторжений еще больше укрепляет эту связь. Выводы также подтверждают предыдущее исследование Anheng Threat Intelligence Center, опубликованное в прошлом месяце.
Если потенциальная цель поддается фишинговой ловушке, открыв файл PDF, запускается вредоносная дроппер HTML под названием Invitation_Farewell_DE_EMB для выполнения JavaScript, который сбрасывает файл ZIP-архива, который, в свою очередь, упаковывается в файл HTML-приложения (HTA), предназначенный для развертывания. вредоносное ПО Duke.
Командование и управление (C2) облегчается за счет использования Zulip API для отправки сведений о жертве в чат-комнату, контролируемую действующим лицом (toyy.zulipchat[.]com), а также для удаленного захвата скомпрометированных хостов.

Масштаб атаки

EclecticIQ заявила, что обнаружила второй PDF-файл, который, вероятно, использовался APT29 для разведки или тестирования.

«Он не содержал полезной нагрузки, но уведомлял хакера, если жертва открывала вложение электронной почты, получая уведомление через скомпрометированный домен edenparkweddings[.]com», — заявили исследователи.

Стоит отметить, что злоупотребление Zulip является нормой для спонсируемой государством группы, которая имеет опыт использования широкого спектра законных интернет-сервисов, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase и Trello. для С2.

Основными целями APT29 являются правительства и государственные деятели, политические организации, исследовательские фирмы и критически важные отрасли в США и Европе. Но, что интересно, неизвестный противник использует свою тактику для взлома китайскоязычных пользователей с помощью Cobalt Strike.

Это произошло после того, как Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) предупредила о новой серии фишинговых атак против государственных организаций Украины с использованием набора инструментов постэксплуатации с открытым исходным кодом на основе Go под названием Merlin. Активность отслеживается под псевдонимом UAC-0154.