Russiske SolarWinds-skyldige lancerer en ny spærreild af spionage-cyberangreb

Som en del af dens igangværende invasion af Ukraine har russisk efterretningstjeneste endnu en gang hentet tjenester fra hackergruppen Nobelium/APT29, denne gang for at spionere på udenrigsministerier og diplomater fra NATO-medlemsstater samt andre mål i EU og Afrika .

Timingen hænger også sammen med en bølge af angreb på canadisk infrastruktur, der også menes at være forbundet med Rusland.

Den polske militære kontraefterretningstjeneste og CERT-holdet i Polen udsendte en advarsel den 13. april sammen med indikatorer for kompromis, der advarede potentielle mål for spionkampagnen om truslen. nobelium, som gruppen er udpeget af Microsoft, også navngivet APT29 fra Mandiant, er ikke ny i nationalstatsspionagespillet, stod gruppen bag den berygtede SolarWinds forsyningskædeangreb for næsten tre år siden.

Nu er APT29 tilbage med et helt nyt sæt malware-værktøjer og rapporterede marchordrer om at infiltrere det diplomatiske korps i lande, der støtter Ukraine, forklarede det polske militær og CERT-alarm.

APT29 er tilbage med nye ordrer

I alle tilfælde begynder den avancerede vedvarende trussel (APT) sit angreb med en velgennemtænkt spear-phishing-e-mail, ifølge den polske alarm.

"E-mails, der efterlignede europæiske landes ambassader, blev sendt til udvalgt personale på diplomatiske poster," forklarede myndighederne. "Korrespondancen indeholdt en invitation til et møde eller til at arbejde sammen om dokumenter."

Beskeden ville derefter bede modtageren om at klikke på et link eller downloade en PDF for at få adgang til ambassadørens kalender eller få mødedetaljer - begge sender målene til et ondsindet websted indlæst med trusselsgruppens "signaturscript", som rapporten identificerer som "Misundt spejder."

"Jegt bruger HTML-smuglingsteknikken - hvorved en ondsindet fil, der er placeret på siden, afkodes ved hjælp af JavaScript, når siden åbnes og derefter downloades på ofrets enhed," tilføjede polske myndigheder. "Dette gør den ondsindede fil sværere at opdage på serversiden, hvor den er gemt."

Det ondsindede websted sender også målene en besked, der forsikrer dem om, at de har downloadet den korrekte fil, sagde advarslen.

"Spear-phishing-angreb er vellykkede, når kommunikationen er velskrevet, bruger personlige oplysninger til at demonstrere kendskab til målet og ser ud til at komme fra en legitim kilde," siger Patrick Harr, CEO for SlashNext, til Dark Reading om kampagnen. "Denne spionagekampagne opfylder alle kriterierne for succes."

Én phishing-e-mail, for eksempel efterlignede den polske ambassade, og interessant nok, i løbet af den observerede kampagne, blev Envyscout-værktøjet justeret tre gange med tilsløringsforbedringer, bemærkede de polske myndigheder.

Når først kompromitteret, bruger gruppen modificerede versioner af Snowyamber downloader, Halfrig, som kører Koboltstrejke som indlejret kode og Quarterrig, som deler kode med Halfrig, sagde den polske alarm.

"Vi ser en stigning i disse angreb, hvor den dårlige skuespiller bruger flere stadier i en kampagne for at justere og forbedre succesen," tilføjer Harr. "De anvender automatiserings- og maskinlæringsteknikker til at identificere, hvad der unddrager sig registrering og ændre efterfølgende angreb for at forbedre succesen."
Regeringer, diplomater, internationale organisationer og ikke-statslige organisationer (NGO'er) bør være i høj beredskab for denne og andre russiske spionagebestræbelser, ifølge polske cybersikkerhedsmyndigheder.

"Den militære kontraefterretningstjeneste og CERT.PL anbefaler kraftigt, at alle enheder, der kan være i aktørens interesseområde, implementerer konfigurationsændringer for at forstyrre leveringsmekanismen, der blev brugt i den beskrevne kampagne," sagde embedsmænd.

Russisk-forbundne angreb på Canadas infrastruktur

Udover advarsler fra polske cybersikkerhedsembedsmænd har Canadas premierminister Justin Trudeau i løbet af den seneste uge afgivet offentlige udtalelser om en nylig bølge af Russisk forbundne cyberangreb rettet mod canadisk infrastruktur, herunder angreb på benægtelse af tjeneste på Hydro-Québec, elforsyning, hjemmesiden for Trudeaus kontor, Port of Quebecog Laurentian Bank. Trudeau sagde, at cyberangrebene er relateret til Canadas støtte til Ukraine.

"Et par denial-of-service-angreb på regeringshjemmesider, der bringer dem ned i et par timer, vil ikke få os til at genoverveje vores utvetydige holdning til at gøre, hvad det kræver, så længe det tager at støtte Ukraine, sagde Trudeau. , ifølge rapporter.

Chefen for det canadiske center for cybersikkerhed, Sami Khoury, sagde på et pressemøde i sidste uge, at selvom der ikke var sket nogen skade på Canadas infrastruktur, "er truslen reel." adgang til canadiere, yde sundhedspleje eller generelt drive nogen af ​​de tjenester, canadiere ikke kan undvære, du skal beskytte dine systemer,” sagde Khoury. "Overvåg dine netværk. Anvend begrænsninger."

Ruslands indsats for cyberkriminalitet raser videre

Mens Ruslands invasion af Ukraine fortsætter i sit andet år, siger Mike Parkin med Vulcan Cyber, at de seneste kampagner næppe burde være en overraskelse.

"Cybersikkerhedssamfundet har set nedfaldet og de efterfølgende skader fra konflikten i Ukraine, siden den startede, og vi har vidst, at russiske og pro-russiske trusselsaktører var aktive mod vestlige mål," siger Parkin. “I betragtning af de niveauer af cyberkriminel aktivitet, vi allerede havde at gøre med, er [disse] blot nogle nye værktøjer og nye mål - og en påmindelse om at sikre, at vores forsvar er opdateret og korrekt konfigureret."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
• Kilde: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks