• В ноябре 2024 года сотрудники российской государственной организации обнаружили фишинговую рассылку. • Атака была частью фишинговой кампании, нацеленной на сотрудников госорганов России и Белоруссии. • За атакой стоит группировка Cloud Atlas.
Методы атаки
• Фишинговые письма отправлялись с адресов @internet.ru, зарегистрированных на mail.ru. • Документы-приманки представляли собой запросы о предоставлении информации. • Вредоносные документы использовали технику удаленной загрузки шаблона.
Технические детали
• Ссылка на вредоносный шаблон вшита в поток 1Table документа формата DOC. • Вредоносные документы не детектировались антивирусной защитой. • Загружаемый шаблон эксплуатировал уязвимость в компоненте Equation Editor.
Анализ вредоносных действий
• На зараженных узлах обнаружены VB-скрипты, взаимодействующие с C2-сервером в Google Sheets. • VB-скрипты отправляли данные о зараженном пользователе в Google Sheets и выполняли код Visual Basic. • На зараженные узлы доставлялись бэкдор PowerShower и ВПО, маскирующееся под компоненты Cisco Webex.