Снова Follina: вредоносное ПО Qbot использует уязвимость в фишинговых атаках » mogilew.by
 

Снова Follina: вредоносное ПО Qbot использует уязвимость в фишинговых атаках

Qbot Follina Proofpoint TA570 фишинговая атака
Группировка TA570 начала использовать Follina для фишинговых атак.
Снова Follina: вредоносное ПО Qbot использует уязвимость в фишинговых атаках

Согласно сообщению исследователи безопасности компании Proofpoint, группировка TA570 начала использовать уязвимость CVE-2022-30190 , отправляя жертвам вредоносные документы Microsoft Office в формате docx.
С помощью Follina хакеры начали фишинговые атаки , направленные на правительственные учреждения США и ЕС. На прошлой неделе Proofpoint также сообщила об атаках китайской хакерской группировки TA413 на тибетцев. По словам специалистов, китайские хакеры также использовали нашумевшую 0-day уязвимость.
TA570, в свою очередь, используют перехваченные сообщения электронной почты с HTML-вложениями, которые загружают ZIP-архивы, содержащие IMG-файлы. Внутри них жертв ждут файлы ярлыков, DLL и Word. Пока файл ярлыка напрямую загружает DLL-файл Qbot , заранее упакованный в образ диска IMG, пустой документ в формате .docx обращается к внешнему серверу для загрузки HTML-файла, который использует Follina для запуска кода PowerShell, загружающего другую полезную нагрузку Qbot.


Полезная нагрузка Qbot

Набор индикаторов компрометации, связанных с Qbot, можно найти здесь .
По словам специалистов, в этой фишинговой кампании Qbot использует тактику, похожую на предыдущие атаки. Ранее хакеров уже ловили на перехвате электронных писем и рассылке вредоносных вложений.
Эксперты считают, что TA570 использует два разных метода заражения потенциальных жертв для проведения A/B-тестирования, пытаясь оценить эффективность каждого метода атаки. Такое уже было в феврале этого года, когда хакеры пытались использовать Squiblydoo для распространения вредоносного ПО через документы Microsoft Office с помощью файла regsvr32.exe.

SECURITYLAB.RU
рейтинг: 
  • Не нравится
  • +13
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости