Министерство юстиции США захватило два интернет домена, которые использовались в недавних фишинговых атаках, выдавая себя за Агентство США по международному развитию (USAID), для распространения вредоносных программ и получения доступа к внутренним сетям.
Домены захваченные Министерством юстиции theyardservice.com и worldhomeoutlet.com использовались для получения данных, отфильтрованных от жертв целевых фишинговых атак, и отправки дальнейших вредоносных команд для выполнения на зараженные машины.
Microsoft впервые раскрыла эти атаки в прошлый четверг и заявила, что они были проведены российской государственной хакерской группой, известной как NOBELIUM (APT29, Cozy Bear и The Dukes). Предполагается, что эта группа связана со Службой внешней разведки России (СВР).
Для проведения фишинговых атак NOBELIUM взломал учетную запись контактного лица USAID, которая впоследствии использовалась для почтовых кампаний. Используя эту учетную запись, злоумышленники выдавали себя за USAID в фишинговых письмах, отправленных примерно на 3000 учетных записей электронной почты в более чем 150 различных организациях, включая государственные учреждения и правозащитные организации.
“После того, как получатель щелкнул на ссылку в электронном письме, компьютер жертвы будет направлен на загрузку вредоносного ПО из поддомена theyardservice.com. Используя эту начальную точку опоры, участники затем загружали Cobalt Strike для удаленного доступа и, возможно, развертывали дополнительные инструменты или вредоносное ПО в сети жертвы» – сообщает Министерство юстиции.
Эта операция была проведена Вашингтонским офисом ФБР и может позволить правоохранительным органам лучше понять, кто подвергся атаки, и уведомить жертв.
А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Хотелось бы выразить огромную благодарность тем, кто принимает активное участие в жизни и развитии журнала, огромное спасибо вам за это.
Журнал Cyber-X