Cyberprzestępcy atakują osoby poszukujące pracy w Stanach Zjednoczonych i Nowej Zelandii w celu dystrybucji sygnałów nawigacyjnych Cobalt Strike, ale także innych wirusów i złośliwego oprogramowania (otwiera się w nowej karcie).
Badacze z Cisco Talos twierdzą, że nieznany podmiot zajmujący się zagrożeniem wysyła wiele wiadomości e-mail w celu wyłudzenia informacji, zakładając tożsamość (otwiera się w nowej karcie) Biura Zarządzania Personelem Stanów Zjednoczonych (OPM) oraz Nowozelandzkiego Stowarzyszenia Usług Publicznych (PSA). . ).
Wiadomość e-mail prosi ofiarę o pobranie i uruchomienie załączonego dokumentu Word, twierdząc, że zawiera on więcej szczegółów na temat oferty pracy.
Zdalne wykonanie kodu
Dokument zawiera makra, które po uruchomieniu wykorzystują lukę znaną jako CVE-2017-0199 – lukę w zdalnym wykonywaniu kodu, załataną w kwietniu 2017 r. Uruchomienie makra powoduje pobranie przez program Word szablonu dokumentu z repozytorium z Bitbucket. Następnie model uruchamia serię skryptów Visual Basic, które z kolei pobierają plik DLL o nazwie „newmodeler.dll”. Ta biblioteka DLL jest w rzeczywistości sygnałem ostrzegawczym Cobalt Strike.
Istnieje również inna, mniej skomplikowana metoda dystrybucji, w której narzędzie do pobierania złośliwego oprogramowania jest pozyskiwane bezpośrednio z Bitbucket.
Za pomocą sygnalizatora Cobalt Strike cyberprzestępcy mogą zdalnie wykonywać różne polecenia na zaatakowanym punkcie końcowym, kraść dane i poruszać się po sieci, mapować je i znajdować bardziej wrażliwe dane.
Naukowcy twierdzą, że beacony komunikują się z serwerem Ubuntu, obsługiwanym przez Alibaba i mającym siedzibę w Holandii. Zawiera dwa ważne certyfikaty SSL z podpisem własnym.
Cisco nie podało nazwisk podmiotów zajmujących się zagrożeniami stojących za tą kampanią, ale jest jedna znana nazwa, która była ostatnio zaangażowana w wiele fałszywych kampanii rekrutacyjnych, a jest to Grupa Lazarus.
Niesławny sponsorowany przez państwo podmiot zajmujący się zagrożeniami w Korei Północnej atakuje twórców blockchain, artystów pracujących na niezmiennych tokenach (NFT), a także ekspertów lotniczych i dziennikarzy politycznych, którzy wykonują fałszywe prace, kradną kryptowaluty i cenne informacje.
Przez: BleepingComputer (Otwiera się w nowej karcie)