Rosyjskie FSB wykorzystuje exploity na iOS

Specjaliści Proofpoint wykryli kampanię mailową, za którą odpowiedzialność „z dużym prawdopodobieństwem” przypisuje się grupie ColdRiver powiązanej z rosyjskim FSB. W analizie wskazano, że atakujący wykorzystują zestaw exploitów DarkSword na iOS. Mowa o podatnościach opublikowanych na GitHubie, o których ostrzegaliśmy w ubiegłym tygodniu.

Co ważne, to pierwszy raz kiedy eksperci Proofpoint odnotowali przypadek, gdy wspomniana grupa zaatakowała użytkowników urządzeń Apple’a.

Zaczyna się od maili. Urządzenia infekowane backdoorem

Specjaliści zaobserwowali wysyłkę wiadomości, w których sprawcy podszywają się pod Atlantic Council. Ich treść stanowi rzekome zaproszenie do zamkniętej dyskusji i zachęca odbiorców do kliknięcia w podany link lub pobranie pliku. W ciągu ostatnich 2 tygodni aktywność grupy jest wyższa niż normalnie. 

Celem jest zainfekowanie urządzenia backdoorem MAYBEROBOT, przy wykorzystaniu exploitów DarkSword. Maile są wysyłane z wcześniej skompromitowanych (przejętych) skrzynek. 

Cele kampanii

Kampania została wymierzona w instytucje rządowe, think tanki, ośrodki akademickie, organizacje z sektora finansów. Jak podaje The Hacker News, jednym z odbiorców wiadomości miał być Leonid Volkov, rosyjski polityk opozycyjny i dyrektor polityczny Fundacji Antykorupcyjnej.

Polacy na celowniku?

„Biegają też po Polsce, wśród ludzi zajmujących się Rosją” - stwierdził Łukasz Jachowicz na portalu X, odnosząc się do postu Malfors o kampanii phishingowej.

Wpis byłego członka Rady do Spraw Cyfryzacji wskazuje, że niektórzy Polacy mogli otrzymać złośliwego e-maila.