Домен, принадлежащий Pawn Storm, ведет на IP-адрес компании Trend Micro.
Участники хакерской группы Pawn Storm, эксплуатирующие уязвимость нулевого дня в Java для осуществления кибератак на Белый дом и военные учреждения США, перевели свое внимание на американскую компанию Trend Micro. Именно Trend Micro зафиксировала ряд кибернападений, проведенных хакерами из Pawn Storm.
ИБ-специалисты из Trend Micro заметили , что URL-адрес, предназначенный для хостинга эксплоита к уязвимости нулевого дня в Java, с помощью которого вредоносное ПО заражало целевую систему, был модифицирован. Подозрительный домен ведет на IP-адрес компании Trend Micro. Специалисты заявляют, что системы компании не были взломаны и скомпрометированы, злоумышленники просто перенаправили DNS-запрос на IP-адрес Trend Micro. DNS-запрос к домену ausameetings[.]com теперь указывает на 216.104.20.189 - IP-адрес Trend Micro.
Эксперты подозревают, что, вероятнее всего, данная операция была проведена хакерами из Pawn Storm в ответ на раскрытие их деятельности компанией Trend Micro. Издание The Stack отмечает, что злоумышленники из Pawn Storm работали по трем разным сценариям - Spear-фишинг атака, нацеленная на пользователей Windows (эксплуатация скомпрометированных документов Microsoft Office для загрузки вредоносов), эксплуатация эксплоита для инфицирования некоторых правительственных сайтов в Польше, и использование фишинговых писем, перенаправляющих пользователя на вредоносные web-приложения Outlook, с целью хищения учетных данных жертвы.
Первое — находим постоянно, второе — ждем вас