Новости Фишинг в открытом море: хакеры GroundPeony пудрят мозги своим жертвам, мастерски подделывая ссылки

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Ваше любимое средство для сокращения URL может быть использовано против вас.


41rm9gypsrme6vrnopo161dg0vp9a2yw.jpg


Эксперты по кибербезопасности из компании nao-sec Для просмотра ссылки Войди или Зарегистрируйся масштабную кампанию кибератак, направленную на правительственные организации Тайваня. За атаками, как сообщается, стоит китайская хакерская группа, отслеживаемая специалистами под кодовым названием «GroundPeony». Группировка имеет очень много сходств с киберпреступной группой «UNC33471», поэтому, вполне вероятно, речь идёт об одних и тех же хакерах.


7la33df9c8ynpz028ljdp280lqguzkc6.png


Цепочка атаки GroundPeony

В большинстве атак GroundPeony использует уязвимость Для просмотра ссылки Войди или Зарегистрируйся под кодовым названием Folina. Цепочка атаки начинается с отправки фишингового электронного письма с вложенным DOC-файлом. В качестве темы своих фишинговых писем хакеры GroundPeony использовали морское сообщение между Тайванем и США, чтобы сделать их более убедительными для жертвы.


tuzdcplr7xqf39i8ptmtqek1i1izcu45.png


Безобидное вложение с «сюрпризом» внутри

При запуске прикреплённого файла потенциальная жертва видит оповещение об ошибке, что содержимое файла нельзя просмотреть без установки специального обновления. В этом же «оповещении» содержится ссылка на якобы официальный сайт Microsoft , откуда можно загрузить нужное обновление. Но по факту, каталог принадлежит мошенникам, а для маскировки URL-адреса хакеры использовали сервис сокращения ссылок Cuttly.


t9qimnqst2qoaf2bmjmnb442sf3o8qbv.png


Ссылка, ведущая на архив с вредоносным ПО

Загруженный ZIP-архив содержит исполняемый EXE-файл и DLL -библиотеку для заражения компьютера вредоносным ПО. Запуск программы открывает злоумышленникам канал, по которому они способны доставить на скомпрометированное устройство любую полезную нагрузку, будь то инфостилеры, программы-вымогатели, вайперы и прочие вредоносные программы.

Анализ технических деталей атак показал, что группа GroundPeony действует с 2021 года и нацелена в первую очередь на правительственные организации Тайваня и Непала. Эксперты полагают, что хакеры обладают высоким уровнем мастерства и доступом к 0-day уязвимостям.

Специалистам кибербезопасности, чьи организации находятся в зоне риска, рекомендуется усилить меры защиты от фишинга и тщательно проверять подозрительные файлы и ссылки. Однако лишь повышенная бдительность поможет точно не стать жертвой хитроумных мошенников.
 
Источник новости
www.securitylab.ru

Похожие темы