- Eset раскрывает большую кампанию кибер -шпионажа
- APT28, также известный как Fancy Bear, был приписан
- В кампании использовались несколько ошибок в N-Day и нулевой день
В течение многих лет, финансируемые государством, финансируемые государством игроки погашали электронное сообщение правительств в Восточной Европе, Африке и Латинской Америке.
Новый отчет исследователей кибербезопасности ESET показал, что Crooks злоупотребил несколькими уязвимостями в течение нулевого и n-дней на серверах веб-почты, чтобы украсть электронные письма.
Эсет назвал кампанию «Кругпресс» и говорит, что она началась в 2023 году. С тех пор российские нападавшие с тех пор транслировали фишингу в Греции, Украине, Сербии, Болгарии, Румынии, Камеруне и Эквадоре в качестве Fancy Bear (также известного как APT28).
Правительство, военные и другие цели
E -Mails, кажется, являются доброкачественными на поверхности и обсуждают ежедневные политические события, но в теле HTML они будут носить злокачественную часть кода JavaScript. Он использовал бы преимущества ошибки сценариев поперечного сайта (XSS) на странице браузера веб-почты, которую жертва использовала и создает невидимые поля ввода, на которых браузер и менеджер паролей имеют информацию о регистрации для автоматического богатства регистрационной информации для полноты изобилия.
Кроме того, код будет читать собор или отправлять HTTP -запросы, сообщения E -MAIL, контакты, настройки веб -почты, информацию 2FA и многое другое. Вся информация будет затем помещена в жестко -кодированный адрес C2.
В отличие от обычных фишинговых сообщений, которые требуют меры на стороне жертвы, эти атаки должны были только открыть жертву и продемонстрировать e -mail. Все остальное было сделано на заднем плане.
Серебряная полоса здесь заключается в том, что полезная нагрузка не имеет механизма выносливости и работает только в том случае, если жертва открывает e -mail. Кроме того, это наиболее вероятно, потому что люди так часто меняют свои пароли E -Mail.
ESET определил несколько ошибок, которые подвергались насилию в этой атаке, включая две ошибки XSS в Roundcube, xss-hade в Mdaemon, неизвестный XSS в орде и ошибку XSS в Зимбре.
Жертвы включают правительственные организации, военные организации, оборонные компании и критические инфраструктурные компании.
Над Звуковой сигнал
Вы также могли бы понравиться
