Снова Follina: вредоносное ПО Qbot использует уязвимость в фишинговых атаках
Группировка TA570 начала использовать Follina для фишинговых атак.
Согласно сообщению исследователи безопасности компании Proofpoint, группировка TA570 начала использовать уязвимость CVE-2022-30190, отправляя жертвам вредоносные документы Microsoft Office в формате docx.
С помощью Follina хакеры начали фишинговые атаки, направленные на правительственные учреждения США и ЕС. На прошлой неделе Proofpoint также сообщила об атаках китайской хакерской группировки TA413 на тибетцев. По словам специалистов, китайские хакеры также использовали нашумевшую 0-day уязвимость.
TA570, в свою очередь, используют перехваченные сообщения электронной почты с HTML-вложениями, которые загружают ZIP-архивы, содержащие IMG-файлы. Внутри них жертв ждут файлы ярлыков, DLL и Word. Пока файл ярлыка напрямую загружает DLL-файл Qbot, заранее упакованный в образ диска IMG, пустой документ в формате .docx обращается к внешнему серверу для загрузки HTML-файла, который использует Follina для запуска кода PowerShell, загружающего другую полезную нагрузку Qbot.
Набор индикаторов компрометации, связанных с Qbot, можно найти здесь.
По словам специалистов, в этой фишинговой кампании Qbot использует тактику, похожую на предыдущие атаки. Ранее хакеров уже ловили на перехвате электронных писем и рассылке вредоносных вложений.
Эксперты считают, что TA570 использует два разных метода заражения потенциальных жертв для проведения A/B-тестирования, пытаясь оценить эффективность каждого метода атаки. Такое уже было в феврале этого года, когда хакеры пытались использовать Squiblydoo для распространения вредоносного ПО через документы Microsoft Office с помощью файла regsvr32.exe.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!