APT28 атакует дипломатов через фишинг с автомобилями

Хакерская группа APT28, известная также как Fancy Bear, запустила кампанию кибершпионажа, целясь в дипломатические круги с помощью необычной фишинговой схемы. Хакеры использовали объявления о продаже автомобилей для распространения вредоносного программного обеспечения HeadLace, представляющего собой сложный бэкдор для Windows.

Согласно отчету аналитической группы Palo Alto Networks Unit 42, атаки начались в марте 2024 года и характеризуются высокой степенью уверенности в причастности APT28. Применяемый метод включает создание замаскированных веб-страниц, которые проверяют, работает ли посетитель на Windows. В случае положительного ответа страница предлагает загрузить ZIP-архив с вредоносными файлами.

В архиве находится фальшивый исполняемый файл калькулятора Windows, DLL-файл и пакетный скрипт, которые совместно активируют загрузку и выполнение бэкдора. Если система пользователя не основана на Windows, его перенаправляют на мишень-изображение, чтобы скрыть мошеннические намерения.

Эта многоступенчатая атака предназначена для незаметного сбора данных и дальнейшего контроля за зараженными системами.