Аналитики безопасности обнаружили недавнюю фишинговую кампанию от российских хакеров, известных как APT29 (Cosy Bear или Nobelium), нацеленную на дипломатов и государственные организации.
APT29 является субъектом, который фокусируется на кибершпионаже и активно с 2014 года. Его таргетинг определяется нынешними геополитическими стратегическими интересами.
В новой кампании, отмеченной аналитиками угроз в Mandiant, APT29 нацелена на дипломатов и различных государственных учреждений посредством нескольких фишинговых кампаний. Сообщения претендуют на то, чтобы нести важные обновления политики и происходят из законных адресов электронной почты, принадлежащих посольствам.
Другим заметным аспектом в этой кампании является злоупотребление Atlassian Trello и другие законные платформы облачных сервисов, для коммуникации командования и контроля (C2).
Кампания началась в январе 2022 года и продолжалась до марта 2022 года в нескольких направлениях, которые отправлялись на несколько адресов получателя.
Во всех случаях фишинговые электронные письма возникли из законного скомпрометированного адреса электронной почты, принадлежащего дипломату, поэтому получатели совершали ошибку, доверяя, как они думали, знакомому электронному адресу с вирусом, поставляемым таким образом.