Хакерската група Gallmaker може да е атакувала български посолства

Непозната досега хакерска група, наречена Gallmaker, е атакувала държавни и военни институции в Източна Европа и Близкия изток. Според Symantec, която е открила активността на групата, част от целите са посолства на източноевропейска страна в различни региони на света. Името на страната не е посочено, но от публикуваната информация може да се направи предположение, че става дума за България.

Групата е изпращала зловредни файлове с разширение .docx и имена, които „биха били интересни на широк кръг от цели в Източна Европа“. Посочени са няколко примера за имена на зловредни файлове:

  • bg embassy list.docx („списък с български посолства“, ако приемем, че bg е съкращение за България)
  • Navy.ro members list.docx  (Navy.ro е сайтът на военноморските сили на Румъния)
  • Документи виза Д – кореспонденция.docx (Виза „Д“ се получава за дългосрочно пребиваване в чужбина)

„Групата Gallmaker действа много таргетирано. Целите й са свързани с правителствени, военни и отбранителни сектори. Някои от целите са посолства на източноевропейска страна. Набелязаните посолства се намират в различни региони на света, но всичките са свързани с една и съща държава“, коментират от Symantec.

Според анализаторите на компанията атаката на набелязаните институции е протичала по следния начин:

1.Хакерите изпращат зловреден файл, най-вероятно чрез спиър фишинг атака;

2.Имената на файловете са на кирилица или латиница и са по теми, свързани с държавни, дипломатически и военни институции. Това увеличава вероятността те да бъдат отворени;

3.Документите се опитват да експлоатират протокола DDE (Dynamic Data Exchange). Подобно на макро скриптовете, той позволява стартирането на скриптове, скрити в „офисни“ файлове формати (разбирай такива за Word и Excel). Тази уязвимост в Microsoft Office беше пачната през декмври 2017 г., но според Symantec институциите, които са станали жертва на атаката, не са направили ъпдейт на софтуера си;

4.Ако набелязаната жертва отвори файла, зловредният скрипт се задейства и дава достъп на хакерите до заразеното устройство;

Според Symantec освен дипломатически институции, свързани с „една източноевропейска страна“, Gallmaker са атакували и военни институции в Близкия изток. Дейността на групата е била засечена за пръв път през декември 2017 г. и е продължила до юни 2018 г. Забележим ръст в активността й е отчетен през април.

Оставете коментар

Коментарите в този блог са публични. Ако не желаете истинското ви име да бъде публикувано, използвайте псевдоним.