Hakerzy atakują znanych urzędników państwowych w Europie

Wieloetapowa kampania hackerska, skierowana na urzędników państwowych Europy Wschodniej (w tym Polski) i Azji Zachodniej.

W styczniu 2022 r. zidentyfikowano wieloetapową kampanię szpiegowską skoncentrowaną na konta wysokich rangą urzędników państwowych Europy Wschodniej, a także Azji Zachodniej. Łańcuch infekcji rozpoczął się od uruchomienia spreparowanego pliku Excel, stanowiącego downloader dla kolejnych obiektów, najprawdopodobniej wysłanego do ofiary za pośrednictwem poczty elektronicznej.

Plik ten wykorzystuje lukę MSHTML w zakresie zdalnego wykonywania kodu (CVE-2021-40444). Dzięki temu dochodzi do odpalenia złośliwego pliku wykonywalnego w pamięci. W ataku wykorzystano także element złośliwego oprogramowania o nazwie Graphite – wykorzystujący

Graph API Microsoftu, a przez to umożliwiający posługiwanie się usługą OneDrive jako centrum dowodzenia i kontroli. Całości operacji dopełniał serwer Empire, który został przygotowany w

lipcu 2021 roku. Kampania hakerska ruszyła zaś od października do listopada 2021 roku.

Polska i inne kraje Europy Wschodniej były już wcześniej przedmiotem zainteresowania osób stojących za tą kampanią. Pełna wiktymologia atakujących nie jest znana. Na podstawie nazw, zawartości złośliwych plików Excel i telemetrii Group-IB, udało się ustalić, że celem są kraje Europy Wschodniej i Azji Zachodniej, a atak wymierzony był głównie w sektory obronności i polityków rządzących frakcji.

Nasze produkty wykrywają wyżej opisane zagrożenia, a w razie potrzeby wysyłają odpowiednie komunikaty o naruszeniu zabezpieczeń. Zakup któregokolwiek z naszych pakietów nie tylko podnosi bezpieczeństwo firmy, lecz także daje dostęp do pełnej wersji tego oraz innych specjalistycznych artykułów z tematyki cyberbezpieczeństwa, zamieszczonych w konsoli XDR.