SolarWinds-Angreifer lassen BMWs baumeln, um Diplomaten auszuspionieren

Die von Russland unterstützte Gruppe hinter dem berüchtigten SolarWinds-Angriff zielt auf „eine erstaunliche Anzahl“ ausländischer Diplomaten, die in Botschaften in der Ukraine arbeiten, mit Lockmitteln, die etwas persönlicher sind als die traditionellen politischen Methoden, mit denen sie normalerweise dazu verleitet werden, auf bösartige Links zu klicken.

Forscher der Unit 42 von Palo Alto Networks beobachteten die Gruppe – die sie verfolgen Verhüllte Ursa aber besser bekannt als Nobelium/APT29 – ein Fortbewegungsmittel.

Der erste Anreiz der Kampagne schien die Verwendung eines legitimen Flyers für den Verkauf einer gebrauchten BMW-Limousine in Kiew zu sein, der von einem Diplomaten im polnischen Außenministerium an verschiedene Botschaften verteilt wurde. Obwohl es ziemlich harmlos erscheint, könnte der Verkauf eines zuverlässigen Autos von einem vertrauenswürdigen Diplomaten – insbesondere in einer vom Krieg zerrütteten Region wie der Ukraine – definitiv die Aufmerksamkeit eines Neuankömmlings auf den Tatort lenken, stellten die Forscher fest.

Dies ist etwas, das Cloaked Ursa als Chance nutzte und den Flyer umfunktionierte, um einen eigenen unrechtmäßigen Flyer zu erstellen, den die Gruppe zwei Wochen später als Köder für ihre Malware-Kampagne an mehrere diplomatische Missionen schickte. Die Gruppe fügte der Nachricht einen schädlichen Link hinzu, der besagte, dass Zielpersonen dort weitere Fotos des Autos finden könnten. Opfer finden mehr als nur Fotos, wenn sie auf den Link klicken, der im Hintergrund Malware ausführt, während das ausgewählte Bild auf dem Bildschirm des Opfers angezeigt wird.

Die Nutzlast der Kampagne ist eine JavaScript-basierte Malware, die Angreifern eine spionagebereite Hintertür in das System des Opfers bietet und die Möglichkeit bietet, über eine Command-and-Control-Verbindung (C2) weiteren Schadcode zu laden.

Die Advanced Persistent Threat (APT) hat bei der Erstellung ihrer Zielliste eine vorsätzliche Vorgehensweise bewiesen, indem sie für etwa 80 % der angegriffenen Opfer öffentlich zugängliche Botschafts-E-Mail-Adressen und für die anderen 20 % unveröffentlichte E-Mail-Adressen nutzte, die nicht im oberflächlichen Web zu finden waren. Laut Unit 42 diente dies wahrscheinlich dazu, „ihren Zugang zu den gewünschten Netzwerken zu maximieren“.

Die Forscher beobachteten, wie der Tarnbär die Kampagne gegen 22 von 80 Auslandsmissionen in der Ukraine führte, die tatsächliche Zahl der Ziele sei jedoch wahrscheinlich höher, sagten sie.

„Das Ausmaß dieser im Allgemeinen eng begrenzten und geheimen APT-Operationen ist atemberaubend“, so Unit 42.

Eine Änderung in den Malware-Cyber-Taktiken

Es handelt sich um einen strategischen Dreh- und Angelpunkt bei der Verwendung von berufsbezogenen Themen als Köder, wie Forscher herausfanden a blog post Diese Woche veröffentlicht.

„Diese unkonventionellen Köder sollen den Empfänger dazu verleiten, einen Anhang aufgrund seiner eigenen Bedürfnisse und Wünsche zu öffnen, anstatt ihn als Teil seiner Routineaufgaben zu nutzen“, schreiben die Forscher.

Diese Änderung der Locktaktiken könnte ein Schritt sein, um den Erfolgsfaktor der Kampagne zu erhöhen und nicht nur das ursprüngliche Ziel, sondern auch andere innerhalb derselben Organisation zu gefährden und so ihre Reichweite zu vergrößern, schlugen die Forscher vor.

„Die Köder selbst sind in der gesamten diplomatischen Gemeinschaft weit verbreitet und können daher an eine größere Anzahl von Zielen gesendet und weitergeleitet werden“, schrieben sie in dem Beitrag. „Es ist auch wahrscheinlicher, dass sie an andere innerhalb einer Organisation sowie innerhalb der diplomatischen Gemeinschaft weitergeleitet werden.“

Cloaked Ursa/Nobelium/APT29 ist eine staatlich geförderte Gruppe, die mit dem russischen Auslandsgeheimdienst (SVR) verbunden ist und vielleicht am besten für die bekannt ist SolarWinds greifen an, das mit einer im Dezember 2020 entdeckten Hintertür begann, die sich über infizierte Software-Updates auf etwa 18,000 Unternehmen ausbreitete – und immer noch Auswirkungen auf die gesamte Software-Lieferkette hat.

Die Gruppe ist seitdem konstant aktiv geblieben und hat eine Reihe von Veranstaltungen organisiert Attacken die mit der allgemeinen geopolitischen Haltung Russlands dagegen übereinstimmen verschiedene Außenministerien und Diplomaten, und die US-Regierung. Ein gemeinsamer Nenner aller Vorfälle ist a Raffinesse sowohl in der Taktik als auch in der kundenspezifischen Malware-Entwicklung.

Unit 42 stellte Ähnlichkeiten zu anderen bekannten Kampagnen von Cloaked Ursa fest, einschließlich der Angriffsziele, und Codeüberschneidungen mit anderer bekannter Malware der Gruppe.

Eindämmung von APT-Cyberangriffen auf die Zivilgesellschaft

Die Forscher gaben einige Ratschläge für Menschen auf diplomatischen Missionen, um nicht Opfer raffinierter und cleverer Angriffe von APTs wie Cloaked Ursa zu werden. Zum einen schulen Administratoren neu eingesetzte Diplomaten vor ihrer Ankunft in den Cybersicherheitsbedrohungen für die Region.

Mitarbeiter von Behörden oder Unternehmen sollten generell bei Downloads stets vorsichtig sein, selbst von scheinbar harmlosen oder legitimen Websites, und bei der Nutzung von URL-Verkürzungsdiensten besondere Vorkehrungen treffen, um die URL-Umleitung zu beachten, da dies ein Anzeichen für einen Phishing-Angriff sein kann.

Menschen sollten auch genau auf E-Mail-Anhänge achten, um nicht Opfer von Phishing zu werden, so die Forscher. Sie sollten die Dateierweiterungstypen überprüfen, um sicherzustellen, dass die Datei, die sie öffnen, die gewünschte ist, und Dateien mit Erweiterungen vermeiden, die nicht übereinstimmen, oder versuchen, die Art der Datei zu verschleiern.

Schließlich schlugen die Forscher vor, dass diplomatische Mitarbeiter JavaScript grundsätzlich deaktivieren sollten, was dazu führen würde, dass auf der Programmiersprache basierende Malware nicht ausgeführt werden könne.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats