Исследователям предстоит узнать – кому нужны технологии ВМС Пакистана и кто готовил нападение на выставку ВМС с июля 2022 года.
Специалисты из ИБ-компании BlackBerry Для просмотра ссылки Войди
Киберпреступник разослал целевые фишинговые электронные письма с прикрепленным документом, который якобы является руководством для участников PIMEC-23. По словам экспертов, атаки нацелены на организации, связанные с морской средой, и на посетителей мероприятия.
После запуска документа используется метод, называемый удаленным внедрением шаблона ( Для просмотра ссылки Войди
Исследователи BlackBerry обнаружили, что на сервере размещены два ZIP-архива без пароля, один из которых содержит Для просмотра ссылки Войди
Дмитрий Бестужев, исследователь угроз в BlackBerry, рассказал, что шпионское ПО было написано с нуля и специально адаптировано для этой кампании. По его словам, чтобы вредоносное ПО оставалось незамеченным, между каждым запросом происходит пятиминутная задержка.
Имплантат обладает следующими функциями:
- самоудаление в случае обнаружения или завершения операции;
- эксфильтрация конфиденциальных данных с системы жертвы;
- удаление файлов;
- запуск приложений в системе жертвы;
- сбор информации об интересующих файлах в системе;
Более того, содержимое двоичного файла зашифровано с помощью алгоритма XOR, где ключом XOR является «penguin», что и стало основанием для названия NewsPenguin. При этом BlackBerry не обнаружила совпадений Для просмотра ссылки Войди
Анализ домена, на котором размещаются полезные нагрузки, показывает, что он был зарегистрирован 30 июня 2022 года, что указывает на определенный уровень предварительного планирования кампании при одновременном выполнении шагов по итерации набора инструментов.
В BlackBerry заявили, что поскольку кампания нацелена на мероприятие, организованное ВМС Пакистана, это означает, что целью атак является не получение прибыли, а кража наиболее интересных файлов, содержащих информацию о теме конференции, нетворкинге людей и представленных на ней технологиях.
- Источник новости
- www.securitylab.ru