Не на тех напали: хакеры использовали элементарный прием против ИБ-специалистов

Речь идет о фальшивой новостной рассылке международной конференции по киберконфликтам CyCon, которая состоится в Вашингтоне в начале ноября 2017 года. Организаторы конференции – Центр передового опыта НАТО по киберзащите и армейский киберинститут военной академии Вест-Пойнт.

О вредоносной кампании против ИБ-специалистов рассказали эксперты Talos – подразделения Cisco, которое занимается исследованиями угроз информационной безопасности.

Архитекторы атаки скопировали содержание официальной страницы CyCon, рассудив, что анонс конференции послужит отличными «прикрытием» и получит большее распространение. При этом организаторы вредоносной рассылки не стали использовать уязвимости нулевого дня и многоуровневые схемы. Злоумышленники разослали документы MS Office с VBA-скриптами. Видимо, хакеры не учли, что конференцией по кибербезопасности интересуется аудитория, которая не открывает вложения из всех писем и не разрешает выполнять макросы в офисных приложениях.

В официальном сообщении на сайте CyCon организаторы предположили, что хакеры решили воспользоваться репутацией конференции, чтобы скомпрометировать высокопоставленных лиц и международных экспертов в области информационной безопасности.

Команда Cisco Talos считает, что за атакой стоит группировка кибершпионажа APT28, которую подозревают в связях с Россией. Злоумышленники использовали вредоносную программу Seduploader, которую ранее классифицировали как инструмент из арсенала группы APT28, еще известной как Group 74, Tsar Team, Sofacy, Sednit и Fancy Bear.