Фишинговая атака на госорганы
• В ноябре 2024 года сотрудники российской государственной организации обнаружили фишинговую рассылку.
• Атака была частью фишинговой кампании, нацеленной на сотрудников госорганов России и Белоруссии.
• За атакой стоит группировка Cloud Atlas.
• Атака была частью фишинговой кампании, нацеленной на сотрудников госорганов России и Белоруссии.
• За атакой стоит группировка Cloud Atlas.
Методы атаки
• Фишинговые письма отправлялись с адресов @internet.ru, зарегистрированных на mail.ru.
• Документы-приманки представляли собой запросы о предоставлении информации.
• Вредоносные документы использовали технику удаленной загрузки шаблона.
• Документы-приманки представляли собой запросы о предоставлении информации.
• Вредоносные документы использовали технику удаленной загрузки шаблона.
Технические детали
• Ссылка на вредоносный шаблон вшита в поток 1Table документа формата DOC.
• Вредоносные документы не детектировались антивирусной защитой.
• Загружаемый шаблон эксплуатировал уязвимость в компоненте Equation Editor.
• Вредоносные документы не детектировались антивирусной защитой.
• Загружаемый шаблон эксплуатировал уязвимость в компоненте Equation Editor.
Анализ вредоносных действий
• На зараженных узлах обнаружены VB-скрипты, взаимодействующие с C2-сервером в Google Sheets.
• VB-скрипты отправляли данные о зараженном пользователе в Google Sheets и выполняли код Visual Basic.
• На зараженные узлы доставлялись бэкдор PowerShower и ВПО, маскирующееся под компоненты Cisco Webex.
• VB-скрипты отправляли данные о зараженном пользователе в Google Sheets и выполняли код Visual Basic.
• На зараженные узлы доставлялись бэкдор PowerShower и ВПО, маскирующееся под компоненты Cisco Webex.
Ссылка на тг-канал: t.me/hacker_method/208
Мы разрабатываем, внедряем и администрируем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы призываем к сотрудничеству компании, которые хотят сохранить безопасность баз данных, бизнес-процессов и другой важной информации.
Оставьте свой контакт на нашей главной странице и мы поможем вам с любым вопросом! Или позвоните сами :)
+7 (343) 222-13-32 — Екатеринбург
+7 978 214 29 87 — Севастополь
+7 978 214 29 87 — Севастополь