Fancy Bear использует в новой кампании взломанную электронную почту

Как минимум с мая прошлого года APT-группа Fancy Bear (другие названия APT28 и Pawn Storm) использует в своих операциях взломанные электронные почтовые ящики, принадлежащие руководству оборонных предприятий на Среднем Востоке и транспортных компаний, а также представителей органов власти.

Как пояснил исследователь безопасности компании Trend Micro Фейке Хакеборд (Feike Hacquebord), злоумышленники подключаются к выделенному серверу с помощью опции OpenVPN, предоставляемой коммерческим VPN-сервисом, а затем с помощью скомпрометированных учетных данных авторизуются в почтовых сервисах и рассылали вредоносные письма.

Учетные записи высокопоставленных лиц участники APT-группы взломали в ходе предыдущих кампаний. Зачем им понадобилось так рисковать и выдавать результаты своих побед, используя взломанную почту руководителей компаний, пока неизвестно. По словам Хакеборда, скорее всего, злоумышленники готовы пожертвовать сведениями о своих прошлых кампаниях ради возможности обойти спам-фильтры.

«Однако мы не заметили значительных изменений в успешной доставке входящих сообщений в групповых спам-рассылках, что затрудняет понимание причин изменения методологии», - отметил исследователь.

Согласно предположению Хакеборда, изменения в методологии могут быть связаны с неизвестными новыми техниками, появившимися в распоряжении Fancy Bear, не предполагающими использование вредоносного ПО.