Мишенью хакеров на этот раз стали оборонные и аэрокосмические предприятия США. Согласно исследованию компании McAfee, атаки были организованы северокорейским объединением киберпреступников Hidden Cobra.
Hidden Cobra — общее название для всех киберпреступных группировок из Северной Кореи. Злоумышленники атакуют организации по всему миру с различными целями: от сбора данных о военных технологиях до кражи криптовалюты с ведущих бирж.
С марта по май 2020 года хакеры Hidden Cobra рассылали сотрудникам военного сектора США фишинговые письма с предложениями о работе. Преступники использовали технику внедрения шаблона (template injection). С помощью такого приема при открытии документа из письма загружается внешний шаблон Word, содержащий макросы. Код макроса, написанный на языке Visual Basic, загружает DLL-имплант в систему жертвы. Техника внедрения шаблона позволяет хакерам обходить статический анализ вредоносных документов.
Исследование McAfee показало, что одной из главных целей всех атак Hidden Cobra в 2020 году стала установка DLL-имплантов для сбора данных с целью идентификации жертв.
Комментарии