Хакерская группа, известная под названиями APT29, Cozy Bear, The Dukes и Nobelium, которую в США и Великобритании считают связанной с Россией, ведет очередную атаку, рассылая фишинговые письма со взломанной учетной записи в сервисе маркетинговых рассылок Constant Contact, принадлежащей Агентству США по международному развитию, сообщает компания Microsoft.
С февраля по апрель группа проводила различные целевые атаки, рассылая письма со ссылкой на ISO-образ диска, якобы содержащего документы о фальсификациях на президентских выборах в США. При монтировании образа диска в Windows загружалась вредоносная программа. На ранних этапах ее действия иногда ограничивались пересылкой сведений о компьютере пользователя. Позднее к программе были добавлены компоненты, дающие хакерам различные возможности доступа к данным, перемещения по локальной сети и так далее.
Массовая рассылка писем через сервис Constant Contact была отмечена специалистами Microsoft 25 мая. Письма были направлены по 3000 адресам более чем в 150 организациях. Частично рассылку блокировали средства борьбы со спамом, но какая-то доля писем, вероятно, дошла до адресатов. В Microsoft считают, что группа продолжит проводить аналогичные атаки, используя для доставки вредоносных программ законные и пользующиеся доверием пользователей сервисы — такие, как доставка обновлений программ в случае с SolarWinds или маркетинговых рассылок, как в данном случае.