Группировка TA570 начала использовать Follina для фишинговых атак.
Согласно сообщению исследователи безопасности компании Proofpoint, группировка TA570 начала использовать уязвимость CVE-2022-30190 , отправляя жертвам вредоносные документы Microsoft Office в формате docx.
С помощью Follina хакеры начали фишинговые атаки , направленные на правительственные учреждения США и ЕС. На прошлой неделе Proofpoint также сообщила об атаках китайской хакерской группировки TA413 на тибетцев. По словам специалистов, китайские хакеры также использовали нашумевшую 0-day уязвимость.
TA570, в свою очередь, используют перехваченные сообщения электронной почты с HTML-вложениями, которые загружают ZIP-архивы, содержащие IMG-файлы. Внутри них жертв ждут файлы ярлыков, DLL и Word. Пока файл ярлыка напрямую загружает DLL-файл Qbot , заранее упакованный в образ диска IMG, пустой документ в формате .docx обращается к внешнему серверу для загрузки HTML-файла, который использует Follina для запуска кода PowerShell, загружающего другую полезную нагрузку Qbot.
Полезная нагрузка Qbot
Набор индикаторов компрометации, связанных с Qbot, можно найти здесь .
По словам специалистов, в этой фишинговой кампании Qbot использует тактику, похожую на предыдущие атаки. Ранее хакеров уже ловили на перехвате электронных писем и рассылке вредоносных вложений.
Эксперты считают, что TA570 использует два разных метода заражения потенциальных жертв для проведения A/B-тестирования, пытаясь оценить эффективность каждого метода атаки. Такое уже было в феврале этого года, когда хакеры пытались использовать Squiblydoo для распространения вредоносного ПО через документы Microsoft Office с помощью файла regsvr32.exe.
Специалисты BI ZONE TDR сообщили, что критическую уязвимость React2Shell уже начали активно применять в реальных кибератаках.
В России заработал новый режим навигации в сервисе «Яндекс Карты», призванный решить проблему массовых сбоев GPS.
Google объявила о серии обновлений безопасности Android, направленных на борьбу с мобильным вредоносным ПО и серыми схемами распространения приложений.
Компания «Газинформсервис» по просьбе одного из московских банков провела поиск скрытых угроз в его инфраструктуре.
В России прекратил работу крупный технологический стартап, который позиционировался как отечественная альтернатива зарубежным цифровым платформам.
Исследователи по кибербезопасности сообщили о критической уязвимости в платформе Gogs, которая используется для хостинга Git-репозиториев.
UserGate, отечественный разработчик решений по информационной безопасности, открыл научно-исследовательскую лабораторию на базе МИРЭА — Российского технологического университета (РТУ МИРЭА).
Security Vision SOAR — комплексное решение для управления и автоматизации обработки инцидентов информационной безопасности на всех стадиях жизненного цикла согласно лучшим практикам по NIST/SANS: подготовка, выявление, анализ, сдерживание, устранение, восстановление, постинцидент.
Портал Cyber Media подготовил аналитический обзор рынка DLP (Data Loss Prevention) в России.
Исследователи выяснили, что современные системы искусственного интеллекта испытывают серьезные трудности при попытке обосновать свои выводы в логических задачах.
