Киберпреступники из Северной Кореи атаковали американские оборонные предприятия. Для доступа в локальную сеть злоумышленники отправляли сотрудникам фишинговые письма, содержащие поддельные документы с предложениями о работе.
Файл .docx представлял собой ZIP-файл из нескольких частей. Используя технику внедрения шаблона, злоумышленники помещали ссылку в файл .XML, по которой загружались файлы шаблонов (DOTM) с удаленного сервера. Некоторые из них переименовывались в файлы JPEG, чтобы избежать подозрений. Файлы шаблонов содержали код макроса, который и загружал DLL-имплант в систему жертвы, открывая хакерам доступ в компьютерную сеть.
Оставаться незамеченными долгое время хакерам помогало использование одного и того же User-Agent, что и у настоящего пользователя, что позволяло избежать обнаружения и замаскировать трафик.
Join the conversation.