Российские APT28 -HACKERS нападают на популярное обслуживание среди славаки. Ваши данные также могут быть в опасности vosveteit.sk

Аналитики безопасности предупреждают от новой кампании российской хакерской группы APT28, который атакует платформу Microsoft Outlook с задней дверью NothdoorПолем Согласно Hacker News, атаки Hacker Group были поражены несколькими компаниями, основанными на НАТО.

Задние двери Nedoor – это макрос VBA для платформы Microsoft OutlookПолем Это программное обеспечение, предназначенное для отслеживания входящих электронных писем, которые содержат определенное ключевое слово. Когда жертва атаки приходит к такому сообщению в буфер обмена, Ключевое слово начнет процесс потока данных, регистрацию файлов и выполнение вредоносных команд на устройстве жертвы.

Возьмите vosveteit.sk от Telegram и подпишитесь на сообщения

«Мы выводим имя из задней двери слова« ничего », которое расположено в коде суб -исходных кодов. Задняя дверь -активность вращается вокруг бессознательного общения с сервером Hacker Group, ex -Filtering Data и вредоносными программами», -говорит аналитики безопасности.

Эксперты по безопасности по -прежнему не могут точно сказать, как точно установлены задние двери в клиенте Outlook жертвы. Тем не менее, несколько анализов показали, что они могут вставить устройство жертвы через файл onedrive exe. Они используют метод, известный как DLL SideLoadingПолем Этот метод приводит к тому, что система запускает вредоносный файл DLL “sspicli.dll”. Этот файл устанавливает заднюю дверь и отключает защиту от макроса использования.

Эксперты по безопасности обнаружили серьезную слабость с нулевым кликом в клиенте Outlook — Источник: Pixabay (Theedigitarist, Wikimedia (Microsoft), редактирование: vosveteit.sk

Новая атака сложна и особенно неудобна

Точнее файл DLL запускает команды Base64 -Coded PowerShell. Они выполняют несколько действий, в том числе подключение к контролируемой странице злоумышленника, Корректировка записей, чтобы гарантировать, что задняя дверь останется в системе, и превратить возможность запустить макросыПолем В то же время задняя дверь выключает окна диалога Outlook, чтобы пользователь не пришел к пользователю, чтобы его устройство заразилось.

Малвер тогда создает каталог в “%Temp%\ temp” Если этого не существует. Этот каталог используется как База для хранения украденных файлов, которые отправляют группу хакеров.

Не упускайте из виду

Samsung показал малоизвестные настройки мобильных устройств, чтобы помочь вам продлить срок службы батареи. Конечно, вы настраиваете это!

«Файлы, которые вредоносное ПО хранит в этом каталоге. Его контент шифруется их собственным шифрованием вредоносных программ, а затем отправляется по электронной почте, а затем удаляется из системы», – объясняют аналитики безопасности.

Атаки также злоупотребляют Microsoft Dev Tunnels. Это услуга, которая позволяет разработчикам безопасно обнаружить локальные онлайн -сервисы онлайн для тестов и решений по ошибкам. Хакеры используют эту службу в качестве командных и управляющих доменов для еще большего неразумного.

«Этот метод предоставляет хакерам два больших преимущества. Во -первых, оригинальный сервер IP -адреса C2 полностью замаскирован. Второе преимущество заключается в том, что злоупотребление этой службой дает хакерам возможность восстановить имена имен домена в минуту.

Группа хакеров также злоупотребляет ложными трудовыми областями ткани во время атаки. Это позволяет им распространять вредные сценарии на другие устройства, например,что они скопированы на подключенные USB -устройства. Кроме того, это позволяет им загружать другие вредоносные файлы.

Аналитики безопасности подсчитали, что атаки российской хакерской группы APT28 чрезвычайно сложны. Они характеризуются специальным дизайном и до четырех слоев практики кражи, чтобы избежать раскрытия. В результате хакеры имеют возможность долго оставаться в системе жертвы и украсть конфиденциальные данные.

Хакеры распространяют вредоносные программы инсида с HTML — ZDRS: Марцин Марцин Пиксабай

Российские хакеры нападают

В дополнение к кампании APT28 Hacking Group, аналитики безопасности также наблюдали за пробуждением Hacker Group Encrypthub в середине прошлого месяца. Она выиграла титул одной из самых активных групп хакеров, и после долгого перерыва они вновь появились. Хакеры удалось злоупотреблять уязвимостью в системах WindowsПолем Известен как CVE-2025-26633 (MSC Eviltwin).

Эта ошибка была найдена в консоли Microsoft Management (MMC) и позволил злоумышленникам подготовить злонамеренный набор типа MSC, что на первый взгляд выглядит как обычный системный файл. На практике это означает, что когда жертва открывает законную файл, его «плохой двойник» начинается на заднем плане, а цепочка инфекции рождается. Мы сообщаем больше об этой кампании в нашей статье.