Исследователи безопасности обнаружили новую кампанию, нацеленную на несколько военных подрядчиков, занимающихся производством оружия, включая поставщика компонентов для истребителей F-35 Lightning II.
Целенаправленные атаки начинаются с рассылки фишинговых электронных писем сотрудникам, что приводит к многоступенчатому заражению с участием многих систем сохранения и предотвращения обнаружения.
Кампания выделяется своей безопасной инфраструктурой C2 и несколькими уровнями обфускации в стейджерах PowerShell.
Фишинговое электронное письмо, нацеленное на сотрудников, включает в себя ZIP-вложение, содержащее файл-ярлык («Company & Benefits.pdf.lnk»), который при выполнении подключается к C2 и запускает цепочку сценариев PowerShell, заражающих систему вредоносным ПО.
