ИБ-эксперты зафиксировали новую фишинговую кампанию против государственного и частного сектора США.
Спустя год бездействия кибершпионская группировка APT 29, также известная как Cozy Bear, The Dukes и PowerDuke, снова в строю. В последний раз активность APT 29, связываемой с российским правительством и обвиняемой во взломе Национального комитета Демократической партии США в 2016 году, была зафиксирована в прошлом году, когда группировка атаковала норвежские и нидерландские спецслужбы. Теперь она вернулась с новой, довольно масштабной фишинговой кампанией против государственного и частного сектора США.
Как сообщил изданию ZDNet вице-президент компании CrowdStrike Адам Мейерс (Adam Meyers), 14 ноября была выявлена масштабная кампания с использованием целенаправленного фишинга. Жертвам рассылались вредоносные электронные письма якобы от Госдепартамента США, содержащие ссылку на скомпрометированный легитимный сайт. Письма были разосланы сотрудникам организаций, работающих в различных сферах, в том числе научных учреждений, правоохранительных органов, правительственных учреждений и пр.
По словам Мейерса, специалисты пока еще работают над выявлением стоящей за атаками группировки, однако используемые злоумышленниками тактики, техники и процедуры (TTP) указывают на APT 29.
Вредоносная кампания также была зафиксирована специалистами из FireEye. Эксперты подтвердили, что 20 клиентов компании получили фишинговые письма от APT 29. Злоумышленники атаковали представителей различных сфер, в том числе оборонной, военной, транспортной и фармацевтической промышленности, правоохранительных органов и региональных правительств в разных регионах США.
Одно найти легче, чем другое. Спойлер: это не темная материя