黑客组织APT28利用与以色列和哈马斯冲突相关的蜜罐分发定制的HeadLace后门来获取情报信息。这 是由监视该组织活动的 IBM X-Force 专家报告的。

新的攻击活动针对至少 12 个国家，包括匈牙利、土耳其、澳大利亚、波兰、比利时、德国、阿塞拜疆、沙特阿拉伯、哈萨克斯坦、意大利、拉脱维亚和罗马尼亚。在袭击过程中，袭击者使用虚假文件，主要针对影响人道主义援助分配的欧洲组织。诱饵包括与联合国、以色列银行、美国国会公共政策研究所、欧洲议会和智库有关的文件。

一些攻击使用 RAR 存档，利用 WinRAR中的CVE-2023-38831 (CVSS: 7.8) 漏洞来分发 HeadLace 后门。当用户尝试查看存档中的安全文件时，该错误允许网络犯罪分子执行任意代码。如果受害者安装了存在漏洞的 WinRAR 应用程序并打开了存档，则当Headlace dropper在后台运行时，就会显示诱饵文档。

在其他情况下，感染会使用 DLL 劫持方法，该方法将易受 DLL 劫持的合法 Microsoft Calc.exe 二进制文件传递到目标设备。当受害者单击 Calc.exe 时，就会下载恶意 DLL 并将其与 Calc 一起打包在恶意存档中。此时 DLL 启动 Headlace。为了诱骗受害者运行可执行文件，Calc.exe 被重命名并在扩展名前包含空格，这可能会阻止用户检测 .EXE 扩展名。

另一个 Headlace 选项伪装成 Windows 更新。当执行脚本时，在其恶意组件被传递和执行后，Headlace 会立即定期显示虚假的更新状态消息。

值得注意的是，在建立对系统的控制后，APT28 使用额外的方法来拦截帐户数据NTLM或SMB哈希值，并试图通过 TOR 渗透网络。

X-Force 充满信心地表示，该组织将继续攻击外交和学术中心，以获取有关新政治决策的信息。APT28 可以通过利用公开的 CVE 和商用基础设施来适应网络威胁能力的变化。