APT31 распространяет зловреда под видом антивируса

Китайская хакерская группировка APT31 рассылает электронные письма со ссылкой, ведущей на GitHub. Откуда в последствии на пользовательское устройство загружается вредоносное ПО, позволяющее злоумышленникам загружать и скачивать файлы, воспроизводить код удаленно и выполнять команды. В APT31 используют серверы GitHub и Dropbox в связи с чем их трудно отслеживать.

В рамках реализации атаки APT31 направляют жертве фишинговое электронное письмо с предложением загрузить с GitHub и установить антивирусное ПО McAfee. Однако вместе с ним на систему пострадавшей стороны будет установлено вредоносное ПО. Зловред представляет собой написанное на языке программирования Python дополнение, использующее Dropbox в качестве C&C.

Каждый используемый в атаке вредоносный элемент хранится на легитимном ресурсе, поэтому для отслеживания хакеров специалистам по информационной безопасности сложнее полагаться на паттерны сигналов сети.