APT28 использовала новости о публикации проекта соглашения по выходу Великобритании из ЕС для распространения вредоносного ПО.
Связываемая с российскими спецслужбами группировка APT28 (также известная как Fancy Bear и Pawn Storm), использовала последние новости о Brexit для распространения вредоносного ПО. Как сообщает ИБ-компания Accenture, злоумышленники рассылали жертвам фишинговые письма с вредоносным документом Microsoft Word, в котором сообщались последние новости о планах Великобритании по выходу из Евросоюза.
15 ноября 2018 года Еврокомиссия опубликовала текст окончательного проекта соглашения относительно выхода Великобритании из ЕС. Эта же дата использовалась в названии вредоносного документа – «Brexit 15.11.2018.docx». То есть, злоумышленники использовали последние новости касательно Brexit для того, чтобы вызвать интерес у жертв и усыпить их бдительность.
Когда пользователь открывает документ, появляется уведомление о необходимости активировать макросы. Если жертва выполняет указание, на систему устанавливается вредоносное ПО Zekapab, также известное как Zebrocy.
«Использование для доставки вредоносного ПО Zekapab (Zebrocy) вредоносных документов Microsoft Word и новостных заголовков является отличительной чертой SNAKEMACKEREL (название группировки по версии Accenture – ред.). Скорость, с которой свежие новостные заголовки использовались во вредоносных документах, свидетельствует в частности о высокой осведомленности группировки в вопросах внешней политики и указывает на круг атакуемых жертв», – сообщает Accenture.