Политбюро: конфликт в Израиле спровоцировал масштабный шпионаж в 12 странах мира

Хакерская группа APT28 использует информационные приманки, связанные с конфликтом между Израилем и ХАМАСом, для распространения кастомизированного бэкдора HeadLace в целях получения разведывательной информации. Об этом сообщают специалисты IBM X-Force, которые отслеживают действия группы.

Новая кампания направлена против целей в минимум 12 странах мира, включая Венгрию, Турцию, Австралию, Польшу, Бельгию, Германию, Азербайджан, Саудовскую Аравию, Казахстан, Италию, Латвию и Румынию. В ходе атак злоумышленники используют поддельные документы, ориентированные в первую очередь на европейские организации, влияющие на распределение гуманитарной помощи. В числе приманок — документы, связанные с ООН, Банком Израиля, НИИ государственной политики Конгресса США, Европарламентом и аналитическими центрами.

В некоторых атаках используются RAR-архивы, эксплуатирующие уязвимость CVE-2023-38831 (CVSS: 7.8) в WinRAR, чтобы распространять бэкдор HeadLace. Ошибка позволяет киберпреступнику выполнять произвольный код при попытке пользователя просмотреть безопасный файл в архиве. Если у жертвы установлено уязвимое приложение WinRAR, и она открывает архив, отображается документ-приманка, а в этот момент дроппер Headlace выполняется в фоновом режиме.

В других случаях для заражения используется метод подмены DLL (DLL Hijacking), в ходе которого на целевое устройство доставляется легитимный двоичный файл Microsoft Calc.exe, который подвержен подмене DLL. Когда жертва нажимает на Calc.exe, загружается вредоносная DLL-библиотека, которая упакована вместе с Calc во вредоносный архив. В этот момент DLL запускает Headlace. Чтобы обманом заставить жертву запустить исполняемый файл, Calc.exe переименовывается и содержит пробелы перед расширением, что может помешать пользователю обнаружить расширение .EXE.

Другой вариант Headlace маскируется под обновление Windows. При запуске скрипта, сразу после доставки и запуска его вредоносных компонентов, Headlace через определенные промежутки времени отображает поддельные сообщения о состоянии обновления.

Отмечается, что после установления контроля над системой, APT28 применяет дополнительные методы для перехвата данных учетных записей NTLM или SMB хэшей, а также стремится проникнуть в сеть через TOR.

X-Force с высокой уверенностью утверждает, что группа продолжит атаковать дипломатические и академические центры, чтобы получить информацию о новых политических решениях. APT28 может адаптироваться к изменениям возможностей в сфере киберугроз, используя общедоступные CVE и используя коммерчески доступную инфраструктуру.