Пакистанские хакеры атакуют госучреждения в России и США

Пакистанская хакерская группировка предпринимает попытки атаковать правительственные организации с помощью инфраструктуры, также используемой ею для рассылки спама с вредоносным ПО.

Как сообщают исследователи из Palo Alto Networks Unit 42, группировка Gorgon Group активна с февраля текущего года и с помощью целенаправленного фишинга атакует госучреждения в Испании, Великобритании, США и России. В раскрытии вредоносной кампании экспертам помогло использование хакерами популярного сервиса по сокращению URL, благодаря которому им удалось получить данные по количеству кликов на ссылки и другую связанную с Gorgon Group информацию.

Злоумышленники рассылают своим жертвам фишинговые электронные письма, посвященные вопросам терроризма, а также военным и политическим проблемам в Пакистане и соседних странах. Письма содержат документы Microsoft Word с эксплоитом для уязвимости CVE-2017-0199. Когда жертва открывает документ, на компьютер загружается скрипт на Visual Basic с командами PowerShell, после чего злоумышленник может выполнять команды и загружать на скомпрометированную систему вредоносное ПО.

В случае с Gorgon Group на взломанные ПК устанавливается одно из трех семейств троянов для похищения данных и шпионажа – NanoCoreRAT, QuasarRAT или NJRAT.

Точное количество успешных заражений неизвестно. Тем не менее, исследователи обнаружили свидетельства того, что даже кампания со столь примитивной инфраструктурой может представлять угрозу безопасности правительственных организаций.

Источник