Российская группа APT28 начала кампанию целевого фишинга, направленную на украинские организации и союзников по НАТО. Целью является внедрение PRISMEX, ранее неизвестного вредоносного ПО. Этот набор использует сложные методы для уклонения от обнаружения и сохранения доступа к скомпрометированным системам, что отражает постоянную эволюцию целевых угроз с геополитической мотивацией.
Методы обфускации и персистентности PRISMEX 🕵️
PRISMEX использует продвинутую стеганографию, скрывая свой вредоносный код внутри, казалось бы, обычных файлов изображений. Для обеспечения персистентности он захватывает модель компонентных объектов (COM) системы. Его командно-контрольные коммуникации маскируются путем злоупотребления легитимными облачными сервисами, что затрудняет блокировку вредоносного трафика и судебный анализ.
Ребята из APT28 и их одержимость цифровым искусством 🎨
Не довольствуясь старым добрым фишингом, они теперь дарят нам абстрактное искусство. Они прячут вредоносное ПО в изображениях, словно авангардные цифровые художники. Их творческое использование облачных сервисов показывает, что даже угрозовые акторы ценят преимущества распределенных вычислений. Усилие достойное внимания, хотя хотелось бы, чтобы они направили эту изобретательность на легитимные проекты с открытым исходным кодом.