Een cybercrimineel met banden met Rusland is in verband gebracht met een nieuwe campagne waarbij een te koop aangeboden auto werd gebruikt als phishing-lokmiddel om een modulaire Windows-backdoor genaamd HeadLace te verspreiden.
“De campagne was waarschijnlijk gericht op diplomaten en begon al in maart 2024”, aldus Unit 42 van Palo Alto Networks in een vandaag gepubliceerd rapport. Volgens de organisatie is de oorzaak met een gemiddeld tot hoog niveau van zekerheid te wijten aan APT28, ook wel bekend als BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy en TA422.
Het is opmerkelijk dat phishing-thema’s gericht op de verkoop van auto’s al eerder zijn gebruikt door een andere Russische nationale organisatie, genaamd APT29, sinds juli 2023. Dit geeft aan dat APT28 succesvolle tactieken hergebruikt voor zijn eigen campagnes.
Eerder deze mei werd de kwaadwillende partij in verband gebracht met een reeks campagnes die gericht waren op netwerken in heel Europa met de HeadLace-malware en webpagina’s die inloggegevens verzamelen.
De aanvallen worden gekenmerkt door het gebruik van een legitieme service die bekend staat als webhook(.)site – een kenmerk van de cyberoperaties van APT28, samen met Mocky – om een kwaadaardige HTML-pagina te hosten. Deze controleert eerst of de doelcomputer op Windows draait en biedt, indien dit het geval is, een ZIP-archief aan om te downloaden (“IMG-387470302099.zip”).
Als het systeem niet op Windows is gebaseerd, wordt u doorgestuurd naar een nepafbeelding op ImgBB, specifiek van een Audi Q7 Quattro SUV.
In het archief bevinden zich drie bestanden: het legitieme uitvoerbare bestand van de Windows-rekenmachine dat zich voordoet als een afbeeldingsbestand (“IMG-387470302099.jpg.exe”), een DLL (“WindowsCodecs.dll”) en een batchscript (“zqtxmo.bat”).
Het binaire rekenmachinebestand wordt gebruikt om de schadelijke DLL te sideloaden, een onderdeel van de HeadLace-backdoor die is ontworpen om het batchscript uit te voeren, dat op zijn beurt een Base64-gecodeerde opdracht uitvoert om een bestand op te halen van een andere webhook(.)site-URL.
Dit bestand wordt vervolgens opgeslagen als “IMG387470302099.jpg” in de downloadmap van de gebruiker en hernoemd naar “IMG387470302099.cmd” voordat het wordt uitgevoerd. Hierna wordt het verwijderd om sporen van schadelijke activiteiten te wissen.
“Hoewel de infrastructuur die Fighting Ursa gebruikt voor verschillende aanvalscampagnes verschilt, vertrouwt de groep vaak op deze gratis beschikbare services,” aldus Unit 42. “Bovendien passen de tactieken van deze campagne bij eerder gedocumenteerde Fighting Ursa-campagnes, en de HeadLace-backdoor is exclusief voor deze dreigingsactor.”