Специалисты «Лаборатории Касперского» считают причастными к серии кибернетических атак с начала года хакеров китайской кибергруппы TA428. Согласно сообщению компании, такого рода атаки на оборонные предприятия и сайты госорганов были зарегистрированы в России, странах Восточной Европы и Афганистане.

Российские эксперты сделали вывод, что целью атак был кибернетический шпионаж. Злоумышленникам в некоторых случаях удалось целиком захватить IT-инфраструктуру. Для «наживки» хакеры применили тщательно подготовленные фишинговые письма. К посланиям были прикреплены файлы Microsoft Word с вирусным кодом, который эксплуатирует уязвимость CVE-2017-11882.

Она даёт возможность хакерской программе без дополнительных действий со стороны пользователя взять под управление заражённую систему. В качестве основного инструмента атаки злоумышленники применили утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей.

В итоге, хакеры добивались полного контроля над рабочими станциями и серверами интересующей их организации, после чего скачивали файлы с секретной и приватной информацией на свои серверы, развёрнутые в разных государствах.

Как отмечают в «Лаборатории Касперского», целевой фишинг по-прежнему остается одной из наиболее серьёзных угроз для предприятий и госучреждений.