APT28 оказались причастны к новой фишинговой кампании, в которой в качестве фишинговой приманки использовался выставленный на продажу автомобиль для доставки модульного бэкдора Windows под названием HeadLace.

Что произошло
«Кампания, вероятно, была нацелена на дипломатов и началась еще в марте 2024 года», — говорится в опубликованном сегодня отчете Palo Alto Networks Unit 42, в котором говорится, что ее со средней или высокой степенью уверенности приписывают APT28, которая также известна как BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy и TA422.

Стоит отметить, что фишинговые темы «автомобили на продажу» ранее использовались другой российской государственной группировкой под названием APT29 еще в мае 2023 года, что свидетельствует о том, что APT28 перепрофилирует успешные тактики для своих собственных кампаний.

Особенности атаки
Ранее в мае этого года злоумышленник был замешан в серии кампаний, нацеленных на сети по всей Европе с помощью вредоносного ПО HeadLace и веб-страниц для сбора учетных данных.

Атаки характеризуются использованием легитимной службы, известной как webhook[.]site — отличительной черты киберопераций APT28 наряду с Mocky — для размещения вредоносной HTML-страницы, которая сначала проверяет, работает ли целевая машина на Windows, и если да, предлагает ZIP-архив для загрузки («IMG-387470302099.zip»).

Если система не основана на Windows, она перенаправляет на обманное изображение, размещенное на ImgBB, в частности, на внедорожник Audi Q7 Quattro.

В архиве находятся три файла: легитимный исполняемый файл калькулятора Windows, маскирующийся под файл изображения («IMG-387470302099.jpg.exe»), DLL («WindowsCodecs.dll») и пакетный скрипт («zqtxmo.bat»).

Двоичный файл калькулятора используется для загрузки вредоносной DLL, компонента бэкдора HeadLace, предназначенного для запуска пакетного скрипта, который, в свою очередь, выполняет команду в кодировке Base64 для извлечения файла с другого URL-адреса webhook[.]site.

Затем этот файл сохраняется как "IMG387470302099.jpg" в папке загрузок пользователя и переименовывается в "IMG387470302099.cmd" перед выполнением, после чего он удаляется, чтобы стереть следы любой вредоносной активности.

"Хотя инфраструктура, используемая Fighting Ursa, различается для разных кампаний атак, группа часто полагается на эти свободно доступные сервисы", - заявили в Unit 42. "Более того, тактика этой кампании соответствует ранее задокументированным кампаниям Fighting Ursa, а бэкдор HeadLace является эксклюзивным для этого субъекта угрозы".