Киберпреступники охотятся на соискателей в США и Новой Зеландии, чтобы распространять маяки Cobalt Strike, а также другие вирусы и вредоносные программы. (откроется в новой вкладке)также.
Исследователи из Cisco Talos утверждают, что неизвестный злоумышленник рассылает несколько фишинговых приманок по электронной почте, выдавая себя за личность. (откроется в новой вкладке) Управления по управлению персоналом США (OPM), а также Ассоциации государственной службы Новой Зеландии (PSA).
В электронном письме жертве предлагается загрузить и запустить прикрепленный документ Word, утверждая, что он содержит более подробную информацию о вакансии.
Удаленное выполнение кода
Документ пронизан макросами, которые при запуске используют известную уязвимость, отслеживаемую как CVE-2017-0199, уязвимость удаленного выполнения кода, исправленную в апреле 2017 года. Запуск макроса приводит к тому, что Word загружает шаблон документа из репозитория Bitbucket. Затем шаблон выполняет серию сценариев Visual Basic, которые, следовательно, загружают файл DLL с именем «newmodeler.dll». Эта DLL на самом деле является маяком Cobalt Strike.
Существует также другой, менее сложный метод распространения, при котором загрузчик вредоносного ПО загружается непосредственно из Bitbucket.
С помощью маяка Cobalt Strike злоумышленники могут удаленно выполнять различные команды на скомпрометированной конечной точке, красть данные и перемещаться по сети в горизонтальном направлении, отображая ее и находя более конфиденциальные данные.
Исследователи утверждают, что маяки взаимодействуют с сервером Ubuntu, размещенным на Alibaba и базирующимся в Нидерландах. Он содержит два самозаверяющих и действительных сертификата SSL.
Cisco не назвала действующих лиц, стоящих за этой кампанией, но есть одно известное имя, которое в последнее время участвовало в многочисленных кампаниях по поддельным вакансиям, и это Lazarus Group.
Печально известный северокорейский субъект угроз, спонсируемый государством, нацелен на разработчиков блокчейна, художников, работающих с невзаимозаменяемыми токенами (NFT), а также на экспертов в области аэрокосмической промышленности и политических журналистов с поддельными работами, крадущими криптовалюты и ценную информацию.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
