Киберпреступники используют неизвестное вредоносное ПО, которое использует правительственную почту для сбора данных.
Исследователи кибербезопасности из ИБ-компании Для просмотра ссылки Войди
Кампания использует легитимные, но скомпрометированные учетные записи электронной почты для отправки украденных данных на внешние почтовые аккаунты, контролируемые злоумышленниками.
Цепочка атаки OilRig Для отправки данных используется бэкдор на основе .NET, которому поручено доставлять 4 разных файла, включая основной имплантат («DevicesSrv.exe»), эксфильтрующий определенные файлы.
На втором этапе используется файл Для просмотра ссылки Войди
Наиболее заметным аспектом бэкдора является его процедура эксфильтрации, которая включает использование украденных учетных данных для отправки электронных писем на контролируемые злоумышленниками email-адреса Gmail и Proton Mail. Хакеры отправляют эти электронные письма через правительственные серверы Exchange, используя скомпрометированные легитимные аккаунты.
Эту кампанию специалисты связали с APT34 из-за сходства дропперов первого этапа и бэкдора Для просмотра ссылки Войди
По словам исследователей, несмотря на простоту процедуры, новизна второго и последнего этапов также указывает на то, что вся эта процедура может быть лишь небольшой частью более крупной кампании, нацеленной на правительства.
- Источник новости
- www.securitylab.ru