Фишеры используют для обмана приглашение на ИБ-конференцию

image

Теги: фишинг, электронная почта

Lotus Blossom использует настоящее приглашение на мероприятие Palo Alto Networks.

APT-группа Lotus Blossom, в течение многих лет атаковавшая страны Юго-Восточной Азии, нашла новый способ заставить жертву открыть фишинговое письмо. С целью обмануть пользователя хакеры маскируют письмо под легитимное приглашение на конференцию по информационной безопасности, проводимую компанией Palo Alto Networks. В частности речь идет о мероприятии, запланированном на 3 ноября в Джакарте (Индонезия).

Lotus Blossom – группировка, занимающаяся кибершпионажем по крайней мере с 2009 года. Организация отличается активным использованием целевого фишинга и постоянной сменой техник обмана пользователей. Для атак Lotus Blossom использует кастомизированные трояны, такие как Elise и Emissary. Как правило, деятельность группировки направлена на Гонконг, Вьетнам, Индонезию и Филиппины. Очевидно, атаки Lotus Blossom весьма успешны, иначе хакеры перестали бы использовать целевой фишинг.

Как сообщает исследователь Palo Alto Networks Роберт Фальконе (Robert Falcone), компания часто рассылает электронные приглашения пользователям, которых могут заинтересовать проводимые ею мероприятия. Судя по всему, у Lotus Blossom либо есть доступ к электронному ящику, получившему такое письмо, либо кто-то из членов группировки действительно был приглашен.

Злоумышленники сделали скриншот приглашения и расписания конференции и объединили их в один документ Word под названием [FREE INVITATIONS] CyberSecurity Summit.doc, прилагающийся к письму. Вложение содержит вредоносный код, эксплуатирующий уязвимость в MS Office (CVE-2012-0158) для установки трояна на систему жертвы.
Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.