Хакеры нацелены на российские правительственные учреждения с фишинговыми электронными письмами, которые выдают себя за обновления безопасности Windows и другие приманки для установки вредоносных программ удаленного доступа.
Атаки проводятся ранее не упомянутой группой APT, которая, как считается, действует из Китая и связана с четырьмя отдельными кампаниями целевого фишинга.
Эти операции проходили с февраля по апрель 2022 года. Его мишенями были государственные структуры Российской Федерации.
Microsoft добавляет подписки на Office в настройки учетной записи Windows 11
Во всех четырех случаях конечной целью кампаний было заражение целей пользовательским трояном удаленного доступа (RAT), который, скорее всего, помогал в шпионских операциях.
Обнаружение и отчет поступили от аналитиков группы Malwarebytes Threat Intelligence, которые заметили характерные попытки злоумышленников обмануть другие хакерские группы и остаться незамеченными.
Для второй волны у APT было больше времени, чтобы подготовить что-то более сложное. Они использовали архив tar.gz, который должен был стать исправлением уязвимости Log4Shell, присланным Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации.
По данным Malwarebytes, эта кампания имела узкий таргетинг, поскольку большинство связанных с ней электронных писем было доставлено сотрудникам телеканала RT, государственной российской телекомпании.
Эти электронные письма содержали PDF-файл с инструкциями по установке патча Log4j и даже содержали такие советы, как «не открывать подозрительные электронные письма и не отвечать на них».