Деталі
Дослідники з компанії Mandiant заявили, що вони вперше помітили цю організацію в червні минулого року, коли відстежували одну з фішингових організацій.
Хакери у цій кампанії намагалися заразити ПЗ користувачів трьома новими серіями шкідливих програм, такими як Mandiant, Sideshow та Touchshift.
Також вони продемонстрували нові можливості протидії інструментам виявлення, працюючи всередині хмарних середовищ "цілей".
"Mandiant підозрює, що UNC2970 спеціально призначався для дослідників безпеки в цій операції", - заявили вони.
Бекдор UNC2970 використовував цільовий фішинг - пошук роботи, намагаючись заманити людей та змусити їх встановити нове шкідливе ПЗ.
Традиційно UNC2970 орієнтований на організації, що відправляють фішингові електронні листи, присвячені найму на роботу. Нещодавно група перейшла на використання підроблених облікових записів LinkedIn, що належать рекрутерам. Облікові записи імітують законних осіб, щоб обдурити користувача.
Зловмисники намагаються переводити спілкування у месенджер WhatsApp і звідти використовувати або цей додаток, або електронну пошту для бекдору, який Mandiant називає Plankwalk або іншими сімействами шкідливих програм.
Доповнення
Plankwalk або інші шкідливі програми, в основному потрапляють у ПЗ користувача через макроси, вбудовані в документи Microsoft Word.