Детали
Исследователи из компании Mandiant заявили, что они впервые заметили эту организацию в июне прошлого года, когда отслеживали одну из фишинговых организаций.
Хакеры в этой кампании пытались заразить ПО пользователей тремя новыми сериями вредоносных программ, такими как Mandiant, Sideshow и Touchshift.
Также они продемонстрировали новые возможности противодействия инструментам обнаружения, работая внутри облачных сред "целей".
"Mandiant подозревает, что UNC2970 специально предназначался для исследователей безопасности в этой операции", - заявили они.
Бэкдор UNC2970 использовал целевой фишинг - поиск работы, пытаясь заманить людей и заставить их установить новое вредоносное ПО.
Традиционно UNC2970 ориентирован на организации, отправляющие фишинговые электронные письма о найме на работу. Недавно группа перешла на использование поддельных учетных записей LinkedIn, принадлежащих рекрутерам. Учетные записи имитируют законные лица, чтобы обмануть пользователя.
Злоумышленники пытаются перевести общение в мессенджер WhatsApp и оттуда использовать либо это приложение, либо электронную почту для бэкдора, который Mandiant называет Plankwalk или другие семейства вредоносных программ.
Дополнение
Plankwalk или другие вредоносные программы, в основном попадают в ПО пользователя через макросы, встроенные в документы Microsoft Word.