Хакеры из APT-группы Lotus Blossom, которые ранее атаковали страны Юго-Восточной Азии, нашли новый способ для того, чтобы принудить жертв открывать фишинговые письма.
Киберпреступники маскируют письмо под приглашение на конференцию по информационной безопасности, которая проводится компанией Palo Alto Networks 3 ноября в столице Индонезии Джакарте.
Кибергруппировка Lotus Blossom занимается шпионажем как минимум с 2009 года. Хакеры активно пользуются целевым фишингом и постоянно меняют техники обмана жертв. Для проведения кибератак Lotus Blossom пользуется такими кастомизированными троянскими программами, как Elise и Emissary. Зона активности хакеров – Вьетнам, Гонконг, Индонезия и Филиппины. Видимо, кибернападения приносят успех Lotus Blossom, в противном случае хакеры отказались бы от использования целевого фишинга.
По словам исследователя Palo Alto Networks Роберта Фальконе, компания часто организует рассылку электронных приглашений пользователям, которые могут проявить интерес к предстоящим мероприятиям. Вероятнее всего, хакеры из Lotus Blossom имеют доступ к электронному почтовому ящику получателя письма или компания Palo Alto Networks пригласила кого-то из участников кибергруппировки.
Хакеры сделали скриншот приглашения и расписания конференции, а затем объединили их в одном документе Word, который позже был прикреплен к письму. Во вложенном файле содержится вредоносный код, который использует уязвимость в MS Office для инсталляции троянской программы на компьютер жертвы.