Группировка TA570 начала использовать Follina для фишинговых атак.
Согласно сообщению исследователи безопасности компании Proofpoint, группировка TA570 начала использовать уязвимость CVE-2022-30190 , отправляя жертвам вредоносные документы Microsoft Office в формате docx.
С помощью Follina хакеры начали фишинговые атаки , направленные на правительственные учреждения США и ЕС. На прошлой неделе Proofpoint также сообщила об атаках китайской хакерской группировки TA413 на тибетцев. По словам специалистов, китайские хакеры также использовали нашумевшую 0-day уязвимость.
TA570, в свою очередь, используют перехваченные сообщения электронной почты с HTML-вложениями, которые загружают ZIP-архивы, содержащие IMG-файлы. Внутри них жертв ждут файлы ярлыков, DLL и Word. Пока файл ярлыка напрямую загружает DLL-файл Qbot , заранее упакованный в образ диска IMG, пустой документ в формате .docx обращается к внешнему серверу для загрузки HTML-файла, который использует Follina для запуска кода PowerShell, загружающего другую полезную нагрузку Qbot.
Полезная нагрузка Qbot
Набор индикаторов компрометации, связанных с Qbot, можно найти здесь .
По словам специалистов, в этой фишинговой кампании Qbot использует тактику, похожую на предыдущие атаки. Ранее хакеров уже ловили на перехвате электронных писем и рассылке вредоносных вложений.
Эксперты считают, что TA570 использует два разных метода заражения потенциальных жертв для проведения A/B-тестирования, пытаясь оценить эффективность каждого метода атаки. Такое уже было в феврале этого года, когда хакеры пытались использовать Squiblydoo для распространения вредоносного ПО через документы Microsoft Office с помощью файла regsvr32.exe.
Ладно, не доказали. Но мы работаем над этим