Хак-группа Nobelium (APT29/Cozy Bear) пробует себя на поле облачных сервисов — Google Drive и Dropbox. Аналитики из Unit 42 (Palo Alto Networks) сообщили, что кибератаки, инициированные в рамках новой схемы, крайне сложно обнаружить и остановить.
Эксперты отметили, что эта тактика уже была применена в кампаниях, направленных на дипмиссии и иностранные посольства по всему миру — с мая по июнь этого года.
Хакеры используют фишинговые сообщения со ссылкой на вредоносный HTML-файл под названием agenda.html. Он в свою очередь выступает дроппером для дополнительной вредоносной полезной нагрузки, включающей маяк Cobalt Strike. Этот HTML-файл — инструмент EnvyScout, используемый для заражения жертвы другим зловредом.
Nobelium применяет EnvyScout для деобфускации полезной нагрузки и для загрузки вредоносного ISO-файла (agenda.iso) на целевой жёсткий диск. По плану, жертва должна кликнуть по ISO-файлу и по появившемуся lnk-файлу, чтобы запустить вредоносный код и цепочку заражения на своей системе.