APT, связанная с Китаем, возобновляет кибератаку на европейских дипломатов, поскольку война бушует


Исследователи кибербезопасности Proofpoint выявили активизацию деятельности связанного с Китаем субъекта APT (расширенная постоянная угроза) TA416, нацеленного на европейские дипломатические учреждения по мере усиления войны между Россией и Украиной.

Известно, что TA416 (он же RedDelta) уже несколько лет нацелен на Европу, используя веб-жучки для профилирования целевых учетных записей, согласно исследовательскому отчету Proofpoint.

Веб-жучки, также известные как отслеживающие пиксели, содержат гиперссылку на вредоносный объект в теле письма, который при активации пытается получить безопасный файл изображения с хакерского сервера. Это дает злоумышленнику «признак жизни», подтверждающий, что целевая учетная запись действительна и склонна открывать вредоносные электронные письма с содержанием социальной инженерии.

Совсем недавно TA416 начал использовать скомпрометированный адрес электронной почты одной из европейских стран НАТО для нападения на дипломатические офисы другой страны. Proofpoint не называет страны.

Электронные письма с атаками в рамках текущей кампании впервые были отправлены в начале ноября 2021 года с учетной записи, выдающей себя за помощника по обслуживанию совещаний в Секретариате Генеральной Ассамблеи ООН. Кампания вредоносного ПО была направлена ​​против европейских дипломатов под предлогом сообщений от ООН. Выяснилось, что злоумышленник выдавал себя за ту же учетную запись еще в августе 2020 года, чтобы совершить атаку на правительственных чиновников в Европе.

Веб-разведка ошибок, чтобы избежать обнаружения

TA416 использует веб-ошибки для проверки целей, а затем отправляет им вредоносные URL-адреса с различными вариантами полезной нагрузки вредоносного ПО PlugX (троян удаленного доступа), предназначенного для инициирования удаленного доступа к компьютеру жертвы, что приводит к захвату полного контроля.

Авторское право © 2022 IDG Communications, Inc.

https://cyberxhack.org/