28.12.2023
1 хв
1265
Група APT28, відома також як Fancy Bear та Strontium, яка має підтримку з боку російської держави, відзначена як основний винуватець серії кібератак проти урядових організацій, підприємств, навчальних закладів та дослідницьких інститутів Заходу та агентств НАТО. Зазначені атаки відбулись протягом 15-25 грудня 2023 року і включали в себе фішингові електронні листи, що спонукали одержувачів клацнути на посилання, яке нібито вело до важливого документа.
Перенаправлення посилань відбувалося на зловмисний веб-ресурс, який за допомогою JavaScript завантажував файл ярлика Windows (LNK) і викликав команду PowerShell для запуску нового шкідливого програмного забезпечення з назвою “MASEPIE”. Це викликало ланцюгову реакцію завантаження інших шкідливих програм.
MASEPIE встановлює стійкість у заражених системах, змінюючи Windows реєстр та додаючи файл ярлика з оманливою назвою до папки запуску Windows, що ускладнює його видалення. Використання скриптів PowerShell під назвою “STEELHOOK” для крадіжки даних з веб-браузерів на базі Chrome дозволяє зловмисникам отримувати конфіденційну інформацію, таку як паролі та історію веб-перегляду. Інші інструменти, включаючи OCEANMAP і IMPACKET, використовуються для довготривалого доступу до системи та керування атакою.
