​​Хакеры взломали военных США через Word-документы

Киберпреступники из Северной Кореи атаковали американские оборонные предприятия. Для доступа в локальную сеть злоумышленники отправляли сотрудникам фишинговые письма, содержащие поддельные документы с предложениями о работе.

Файл .docx представлял собой ZIP-файл из нескольких частей. Используя технику внедрения шаблона, злоумышленники помещали ссылку в файл .XML, по которой загружались файлы шаблонов (DOTM) с удаленного сервера. Некоторые из них переименовывались в файлы JPEG, чтобы избежать подозрений. Файлы шаблонов содержали код макроса, который и загружал DLL-имплант в систему жертвы, открывая хакерам доступ в компьютерную сеть.

Оставаться незамеченными долгое время хакерам помогало использование одного и того же User-Agent, что и у настоящего пользователя, что позволяло избежать обнаружения и замаскировать трафик.