Im Rahmen seiner laufenden Invasion in der Ukraine hat der russische Geheimdienst erneut die Dienste der Hackergruppe Nobelium/APT29 in Anspruch genommen, diesmal um Außenministerien und Diplomaten aus NATO-Mitgliedsstaaten sowie andere Ziele in der Europäischen Union und Afrika auszuspionieren .
Der Zeitpunkt passt auch zu einer Reihe von Angriffen auf die kanadische Infrastruktur, von denen ebenfalls angenommen wird, dass sie mit Russland in Verbindung stehen.
Der polnische militärische Spionageabwehrdienst und das CERT-Team in Polen gaben am 13. April eine Warnung heraus, zusammen mit Hinweisen auf eine Kompromittierung, und warnten potenzielle Ziele der Spionagekampagne vor der Bedrohung. Nobelium, wie die Gruppe von Microsoft bezeichnet wird, auch genannt APT29 von MandiantEr ist kein Neuling im nationalstaatlichen Spionagespiel, die Gruppe steckte hinter dem Berüchtigten Angriff auf die SolarWinds-Lieferkette vor fast drei Jahren.
Jetzt ist APT29 mit einer ganzen Reihe neuer Malware-Tools und gemeldeten Marschbefehlen zurück, um das diplomatische Korps von Ländern zu infiltrieren, die die Ukraine unterstützen, erklärten das polnische Militär und die CERT-Warnung.
APT29 ist zurück mit neuen Bestellungen
In jedem Fall beginnt die Advanced Persistent Threat (APT) ihren Angriff mit einer gut durchdachten Spear-Phishing-E-Mail, so die polnische Warnung.
„E-Mails, die sich als Botschaften europäischer Länder ausgaben, wurden an ausgewählte Mitarbeiter diplomatischer Vertretungen gesendet“, erklärten die Behörden. „Die Korrespondenz enthielt eine Einladung zu einem Treffen oder zur gemeinsamen Bearbeitung von Dokumenten.“
Die Nachricht weist den Empfänger dann an, auf einen Link zu klicken oder eine PDF-Datei herunterzuladen, um auf den Kalender des Botschafters zuzugreifen oder Details zu Besprechungen abzurufen – beide senden die Ziele an eine bösartige Website, die mit dem „Signaturskript“ der Bedrohungsgruppe geladen ist, das der Bericht identifiziert „Envyscout.“
"Icht verwendet die HTML-Schmuggeltechnik, bei der eine schädliche Datei, die auf der Seite platziert wird, beim Öffnen der Seite mithilfe von JavaScript dekodiert und dann auf das Gerät des Opfers heruntergeladen wird“, fügten die polnischen Behörden hinzu. „Dies macht es schwieriger, die schädliche Datei auf der Serverseite zu erkennen, auf der sie gespeichert ist.“
Die bösartige Website sendet den Zielen auch eine Nachricht, die ihnen versichert, dass sie die richtige Datei heruntergeladen haben, heißt es in der Warnung.
„Spear-Phishing-Angriffe sind erfolgreich, wenn die Kommunikation gut geschrieben ist, persönliche Informationen verwendet werden, um die Vertrautheit mit dem Ziel zu demonstrieren, und scheinbar aus einer legitimen Quelle stammen“, sagt Patrick Harr, CEO von SlashNext, gegenüber Dark Reading über die Kampagne. „Diese Spionagekampagne erfüllt alle Erfolgskriterien.“
Eins Phishing-E-Mail, verkörperte beispielsweise die polnische Botschaft, und interessanterweise wurde das Envyscout-Tool im Laufe der beobachteten Kampagne dreimal mit Verschleierungsverbesserungen optimiert, stellten die polnischen Behörden fest.
Nach der Kompromittierung verwendet die Gruppe modifizierte Versionen des Snowyamber-Downloaders Halfrig, der ausgeführt wird Cobalt Strike als eingebetteter Code und Quarterrig, das den Code mit Halfrig teilt, sagte die polnische Warnung.
„Wir sehen eine Zunahme dieser Angriffe, bei denen der Angreifer mehrere Phasen in einer Kampagne nutzt, um den Erfolg anzupassen und zu verbessern“, fügt Harr hinzu. „Sie setzen Automatisierungs- und maschinelle Lerntechniken ein, um zu identifizieren, was sich der Erkennung entzieht, und nachfolgende Angriffe zu modifizieren, um den Erfolg zu verbessern.“
Laut den polnischen Cybersicherheitsbehörden sollten Regierungen, Diplomaten, internationale Organisationen und Nichtregierungsorganisationen (NGOs) wegen dieser und anderer russischer Spionagebemühungen in höchster Alarmbereitschaft sein.
„Der Militärische Spionageabwehrdienst und CERT.PL empfehlen dringend, dass alle Einheiten, die sich möglicherweise im Interessengebiet des Akteurs befinden, Konfigurationsänderungen vornehmen, um den Liefermechanismus zu stören, der in der beschriebenen Kampagne verwendet wurde“, sagten Beamte.
Russische Angriffe auf Kanadas Infrastruktur
Neben Warnungen polnischer Cybersicherheitsbeamter gab Kanadas Premierminister Justin Trudeau in der vergangenen Woche öffentliche Erklärungen zu einer jüngsten Flut von Russland-verbundene Cyberangriffe richtet sich an kanadische Infrastruktur, einschließlich Denial-of-Service-Angriffe auf Hydro-Québec, Stromversorger, die Website von Trudeaus Büro, der Hafen von Québec und Laurentinische Bank. Trudeau sagte, die Cyberangriffe hätten mit Kanadas Unterstützung der Ukraine zu tun.
"Ein paar Denial-of-Service-Angriffe auf Regierungswebsites, die sie für ein paar Stunden lahmlegen, werden uns nicht dazu bringen, unsere unmissverständliche Haltung zu überdenken, alles zu tun, was nötig ist, um die Ukraine so lange zu unterstützen“, sagte Trudeau , nach den Berichten.
Der Chef des kanadischen Zentrums für Cybersicherheit, Sami Khoury, sagte letzte Woche auf einer Pressekonferenz, dass die kanadische Infrastruktur zwar nicht beschädigt wurde, „die Bedrohung jedoch real ist“. Zugang zu Kanadiern zu haben, Gesundheitsfürsorge zu leisten oder allgemein einen der Dienste zu betreiben, auf die Kanadier nicht verzichten können, Sie müssen Ihre Systeme schützen“, sagte Khoury. „Überwachen Sie Ihre Netzwerke. Schadensminderungen anwenden.“
Russlands Bemühungen um Cyberkriminalität gehen weiter
Während Russlands Invasion in der Ukraine in sein zweites Jahr geht, sagt Mike Parkin von Vulcan Cyber, dass die jüngsten Kampagnen kaum eine Überraschung sein sollten.
„Die Cybersicherheitsgemeinschaft hat die Folgen und Kollateralschäden des Konflikts in der Ukraine seit Beginn beobachtet, und wir wissen, dass russische und pro-russische Bedrohungsakteure gegen westliche Ziele aktiv waren.“ Parkin sagt. „In Anbetracht des Ausmaßes an cyberkriminellen Aktivitäten, mit denen wir bereits zu tun hatten, [dies sind] nur einige neue Tools und neue Ziele – und eine Erinnerung daran, sicherzustellen, dass unsere Verteidigung auf dem neuesten Stand und richtig konfiguriert ist.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Quelle: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks
- :Ist
- $UP
- 7
- a
- LiveBuzz
- Zugang
- Nach
- aktiv
- Aktivität
- Akteure
- hinzugefügt
- Fügt
- advanced
- Afrika
- gegen
- Aufmerksam
- Alle
- bereits
- Ambassador
- und
- erscheinen
- Bewerben
- April
- APT
- SIND
- Bereich
- AS
- At
- Attacke
- Anschläge
- Verwaltung
- Automation
- Zurück
- Badewanne
- Bank
- BE
- hinter
- angenommen
- BOSS
- Bringing
- by
- Kalender
- Kampagnen (Campaign)
- Kampagnen
- CAN
- Kanada
- kanadischen
- Kanadier
- österreichische Unternehmen
- Verursachen
- Zentrum
- CEO
- Kette
- Änderungen
- klicken Sie auf
- Code
- Sicherheit
- wie die
- Kommunikation
- Communities
- community
- Kompromiss
- Kompromittiert
- Konferenz
- Konfiguration
- Konflikt
- Ländern
- Paar
- Kurs
- Kriterien
- kritischem
- Cyber-
- Internet-Sicherheit
- Cyber-Angriffe
- Cyber-Kriminalität
- Cyberkriminalität
- Internet-Sicherheit
- Dunkel
- Dunkle Lektüre
- Datum
- Behandlung
- Lieferanten
- zeigen
- beschrieben
- bezeichnet
- Details
- Entdeckung
- Gerät
- schwer
- Diplomaten
- Direkt
- Störung
- Unterlagen
- Dabei
- nach unten
- herunterladen
- Bemühungen
- Die elektrische
- E-Mails
- eingebettet
- Entitäten
- Spionage
- Europäische
- Europäische Länder
- Europäische Union
- Jedes
- erklärt
- Fallout
- Vertrautheit
- wenige
- Reichen Sie das
- Aussichten für
- fremd
- frisch
- für
- Spiel
- allgemein
- bekommen
- gehen
- der Regierung
- Gruppe an
- Hacker
- Gesundheit
- Gesundheitspflege
- GUTE
- STUNDEN
- HTTPS
- identifiziert
- identifizieren
- implementieren
- zu unterstützen,
- Verbesserungen
- in
- Einschließlich
- Erhöhung
- Anzeigen
- berüchtigt
- Information
- Infrastruktur
- Instanz
- Intelligenz
- Interesse
- International
- Internet
- Internetzugang
- Invasion
- Einladung
- Herausgegeben
- IT
- SEINE
- JavaScript
- jpg
- Niklas
- Justin Trudeau
- bekannt
- Nachname
- starten
- lernen
- Cholesterinspiegel
- LINK
- verknüpft
- Lang
- Maschine
- Maschinelles Lernen
- gemacht
- um
- MACHT
- Malware
- Kann..
- Mechanismus
- Treffen
- Trifft
- Nachricht
- Microsoft
- Militär
- geändert
- ändern
- Überwachen
- mehr
- mehrere
- Namens
- fast
- Netzwerke
- Neu
- News
- NGOs
- bekannt
- of
- bieten
- Office
- on
- laufend
- geöffnet
- betreiben
- Bestellungen
- Organisationen
- Andere
- Seite
- Teil
- passt
- persönliche
- Personal
- Plato
- Datenintelligenz von Plato
- PlatoData
- Polen
- Polnisch
- BLOG-POSTS
- Potenzial
- Werkzeuge
- Prime
- Premierminister
- richtig
- Risiken zu minimieren
- die
- Öffentlichkeit
- Rage
- Lesebrillen
- echt
- beruhigend
- kürzlich
- empfehlen
- bezogene
- berichten
- Berichtet
- Führen Sie
- Russland
- russisch
- s
- Said
- sagt
- Zweite
- Sicherheitdienst
- Sehen
- ausgewählt
- Lösungen
- kompensieren
- Shares
- sollte
- Seite
- da
- am Standort
- SolarWinds
- einige
- Quelle
- Stufen
- begonnen
- Aussagen
- Staaten
- gelagert
- Folge
- Erfolg
- erfolgreich
- liefern
- Supply Chain
- Support
- unterstützende
- Überraschung
- Systeme und Techniken
- nimmt
- Target
- Ziele
- Team
- Techniken
- erzählt
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Sie
- Diese
- Bedrohung
- Bedrohungsakteure
- nach drei
- während
- Zeit
- mal
- zeitliche Koordinierung
- zu
- gemeinsam
- Werkzeug
- Werkzeuge
- Trudeau
- Ukraine
- Gewerkschaft
- us
- -
- Nutzen
- die
- Ve
- Opfer
- Vulkan
- Lohn
- Warnung
- beobachten
- Webseite
- Webseiten
- Woche
- GUT
- Westlich
- Was
- Was ist
- welche
- während
- ganze
- mit
- ohne
- Arbeiten
- zusammenarbeiten
- würde
- geschrieben
- Jahr
- Jahr
- Du
- Ihr
- Zephyrnet
