Microsoft сообщила, что хакерская группа Nobelium начала новую глобальную кибератаку на более чем 150 правительственных агентств, аналитических центров и других организаций в США.
В блоге Microsoft написано, что эта волна атак была нацелена на около 3000 учетных записей электронной почты в более чем 150 различных организациях. Хоть большая часть организаций принадлежит США, данная кибератака затронула как минимум 24 страны.
Также Майкрософт считает, что хакеры являются частью той же российской группы, которая в прошлом году организовала разрушительную атаку на американскую компанию SolarWinds — поставщика программного обеспечения.
Группа Nobelium начала атаку, получив доступ к учетной записи электронной почты Constant Contact, используемой Агентством США по международному развитию (USAID).
Заполучив доступ к этой электронной почте злоумышленники рассылали фишинговые электронные письма содержащие ссылку на вредоносный код.
При открытии JavaScript кода в письме пользователю на диск скачивался ISO-образ. На этом этапе ожидается, что пользователей откроет файл двойным щелчком, после чего появлялся ярлык NV, который запускает скрытый файл BOOM.exe. Этот файл, в свою очередь, загружал несколько вредоносных программ из DropBox, собирающих данные на ПК жертвы и отправляющая их в зашифрованном виде на сервер злоумышленников.
Microsoft заявила, что многие атаки были заблокированы автоматически. Компания также уведомляет клиентов, ставших целью атак, о том, что у нее «нет оснований полагать, что эти атаки связаны с каким-либо эксплойтом или уязвимостью в продуктах или услугах Microsoft».
