Fancy Bear использует в новой кампании взломанную электронную почту

Fancy Bear использует в новой кампании взломанную электронную почту

Изменения в методологии могут свидетельствовать о появлении в арсенале группировки новых техник.

Как минимум с мая прошлого года APT -группа Fancy Bear (другие названия APT28 и Pawn Storm) использует в своих операциях взломанные электронные почтовые ящики, принадлежащие руководству оборонных предприятий на Среднем Востоке и транспортных компаний, а также представителей органов власти.

Как пояснил исследователь безопасности компании Trend Micro Фейке Хакеборд (Feike Hacquebord), злоумышленники подключаются к выделенному серверу с помощью опции OpenVPN, предоставляемой коммерческим VPN-сервисом, а затем с помощью скомпрометированных учетных данных авторизуются в почтовых сервисах и рассылали вредоносные письма.

Учетные записи высокопоставленных лиц участники APT-группы взломали в ходе предыдущих кампаний. Зачем им понадобилось так рисковать и выдавать результаты своих побед, используя взломанную почту руководителей компаний, пока неизвестно. По словам Хакеборда, скорее всего, злоумышленники готовы пожертвовать сведениями о своих прошлых кампаниях ради возможности обойти спам-фильтры.

«Однако мы не заметили значительных изменений в успешной доставке входящих сообщений в групповых спам-рассылках, что затрудняет понимание причин изменения методологии», - отметил исследователь.

Согласно предположению Хакеборда, изменения в методологии могут быть связаны с неизвестными новыми техниками, появившимися в распоряжении Fancy Bear, не предполагающими использование вредоносного ПО.

Хочешь поговорить с хакерами, профессорами и разработчиками не в чатике, а глаза в глаза?

Приезжай на Positive Hack Days Fest* 22–24 мая в Москве — здесь кибербез выходит в офлайн.

*Фест. Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887