Хакеры Fancy Bear провели новую киберкампанию

Эксперты из Palo Alto Networks рассказали о новой фишинговой кампании, организованной кибергруппировкой Fancy Bear, которая, вероятно, связана с российскими властями.

Как утверждают исследователи, хакерские атаки были зафиксированы 12 и 14 марта. Чтобы проводить свои атаки, злоумышленники применяют обновленный вариант платформы DealersChoice, которая использует уязвимость в Adobe Flash для доставки вредоносной программы.

Обновленный вариант DealersChoice применяет новый метод уклонения от обнаружения. Так, загрузка вредоносного модуля производится лишь тогда, когда пользователь просматривает конкретную страницу документа, прикрепленного к фишинговому письму.

Жертвой Fancy Bear стала европейская правительственная организация, чьи сотрудники получили письма с темой «Оборона и безопасность 2018». В сообщениях содержался документ Word с именем Defence & Security 2018 Conference Agenda.docx.

По словам экспертов, злоумышленники скопировали для данного файла повестку дня реальной конференции в Великобритании. При открытии вложенного документа Word Flash-объект, в котором находится вредоносный скрипт, совершает установку полезной нагрузки, но запуск скрипта происходит лишь, если жертва прочтет документ до третьей страницы.

По мнению специалистов, хакеры уверены в том, что их жертвы настолько заинтересуются содержанием документа, что дочитают до третьей страницы.

Запуск вредоносного Flash-объекта произойдет только, когда пользователь доберется до третьей страницы, так как SWF-загрузчик DealersChoice не работает, если не находится на экране. Этот метод позволяет вредоносной программе избегать обнаружения. Вредоносный Flash-объект отображается на экране в виде маленькой черной точки, которая может быть просто не замечена многими пользователями.

После запуска Flash-объект выходит на связь с командным сервером, чтобы загрузить дополнительную вредоносную программу, содержащую код эксплоита.

Эксперты связывают эту кампанию с Fancy Bear, так как в свойствах документа обозначено имя пользователя, вносившего изменения в последний раз, – Nick Daemoji. Это имя уже фигурировало в других киберкампаниях Fancy Bear.