SolarWindsi ründajad riputavad BMW-sid diplomaatide järele luuramiseks

Venemaa toetatud kurikuulsa SolarWindsi rünnaku taga asuv rühmitus võtab sihikule "hämmastaval hulgal" Ukraina saatkondades töötavaid välisdiplomaate peibutustega, mis on pisut isiklikumad kui traditsiooniline poliitiline hind, mida tavaliselt kasutatakse, et meelitada neid pahatahtlikel linkidel klõpsama.

Palo Alto Networksi üksuse 42 teadlased jälgisid rühma – mida nad jälgivad Mantliga Ursa kuid mis on paremini tuntud kui Nobelium/APT29 – sõiduk, millega liikuda.

Kampaania esialgne meelitus näis olevat Kiievis kasutatud BMW sedaani müümiseks legitiimne flaier, mida Poola välisministeeriumi diplomaat levitas erinevatesse saatkondadesse. Kuigi see tundub üsna süütu, võib usaldusväärse auto müük usaldusväärselt diplomaadilt – eriti sõjast räsitud piirkonnas nagu Ukraina – kindlasti tõmmata sündmuskohale uue saabuja tähelepanu, märkisid teadlased.

See on midagi, mida Cloaked Ursa kasutas võimalusena, muutes flaieri oma ebaseadusliku loomiseks, mille rühmitus saatis kaks nädalat hiljem oma pahavarakampaania söödana mitmele diplomaatilisele esindusele. Rühm lisas sõnumisse pahatahtliku lingi, öeldes, et sihtmärgid leiavad sealt rohkem fotosid autost. Ohvrid leiavad rohkem kui lihtsalt fotosid, kui nad klõpsavad lingil, mis käivitab taustal vaikselt pahavara, samal ajal kui valitud pilt kuvatakse ohvri ekraanil.

Kampaania põhikoormus on JavaScriptil põhinev pahavara, mis annab ründajatele spionaažiks valmis tagaukse ohvri süsteemi ning käsu-ja-juhtimise (C2) ühenduse kaudu täiendava pahatahtliku koodi laadimise.

Täiustatud püsiv oht (APT) näitas ettekavatsetust oma sihtloendi loomiseks, kasutades umbes 80% sihitud ohvrite jaoks avalikult kättesaadavaid saatkonna e-posti aadresse ja ülejäänud 20% ohvrite jaoks avaldamata e-posti aadresse, mida ei leitud pinnaveebis. Üksuse 42 andmetel oli see tõenäoliselt "maksimeerida nende juurdepääsu soovitud võrkudele".

Uurijad jälgisid, et Cloaked Ursa võitles Ukrainas 22 välismissioonist 80 vastu, kuid tegelik sihtmärkide arv on tõenäoliselt suurem, ütlesid nad.

"See on hämmastava ulatusega üldiselt kitsa ulatusega ja salajaste APT operatsioonide jaoks," ütleb üksus 42.

Muutus pahavara kübertaktikas

Teadlased näitasid, et see on strateegiline pöördepunkt nende tööga seotud teemade kasutamisest söödana blogi postitus avaldatud sel nädalal.

"Need ebatavalised peibutised on loodud selleks, et meelitada vastuvõtjat avama manust vastavalt oma vajadustele ja soovidele, mitte osana oma rutiinsetest tööülesannetest," kirjutasid teadlased.

See peibutamise taktika muudatus võib olla samm kampaania eduteguri suurendamiseks, mitte ainult esialgse sihtmärgi, vaid ka teiste sama organisatsiooni piires, laiendades seeläbi selle haaret, soovitasid teadlased.

"Piibutised ise on laialdaselt kasutatavad kogu diplomaatilises kogukonnas ja seega saab neid saata ja edastada suuremale hulgale sihtmärkidele," kirjutasid nad postituses. "Neid edastatakse tõenäolisemalt teistele organisatsiooni sees ja ka diplomaatilises kogukonnas."

Cloaked Ursa/Nobelium/APT29 on riiklikult toetatud rühmitus, mis on seotud Venemaa välisluureteenistusega (SVR), mis on ehk kõige tuntum SolarWindsi rünnak, mis sai alguse 2020. aasta detsembris avastatud tagauksest, mis levis nakatunud tarkvaravärskenduste kaudu umbes 18,000 XNUMX organisatsioonini ja millel on endiselt mõju kogu tarkvara tarneahelas.

Rühm on sellest ajast peale järjepidevalt aktiivne olnud, monteerides ridamisi rünnakud mis on kooskõlas Venemaa üldise geopoliitilise hoiakuga erinevad välisministeeriumid ja diplomaadidja USA valitsus. Juhtumite ühine nimetaja on a keerukus nii taktikas kui ka kohandatud pahavara arendamises.

Üksus 42 märkis ära sarnasusi teiste Cloaked Ursa teadaolevate kampaaniatega, sealhulgas rünnaku sihtmärke, ja koodi kattumist grupi muu teadaoleva pahavaraga.

Kodanikuühiskonna vastu suunatud APT küberrünnakute leevendamine

Teadlased andsid diplomaatilistel missioonidel olevatele inimestele mõningaid nõuandeid, et vältida APT-de, nagu Cloaked Ursa, keeruliste ja nutikate rünnakute ohvriks langemist. Üks on see, et administraatorid koolitavad äsja määratud diplomaate piirkonna küberjulgeolekuohtude alal enne nende saabumist.

Valitsuse või ettevõtete töötajad peaksid üldiselt olema alati ettevaatlikud allalaadimiste suhtes, isegi näiliselt kahjututelt või seaduslikelt saitidelt, ning võtma URL-i lühendamisteenuste kasutamisel täiendavaid ettevaatusabinõusid, et jälgida URL-i ümbersuunamist, kuna see võib olla andmepüügi rünnaku tunnuseks.

Teadlaste sõnul peaksid inimesed pöörama suurt tähelepanu ka e-kirjade manustele, et vältida andmepüügi ohvriks langemist. Nad peaksid kontrollima faililaiendite tüüpe tagamaks, et avatav fail on see, mida nad soovivad, vältides faile, mille laiendid ei ühti või üritavad faili olemust hägustada.

Lõpuks tegid teadlased ettepaneku, et diplomaatilised töötajad keelaksid reeglina JavaScripti, mis muudaks programmeerimiskeeles põhineva pahavara käivitamisvõimetuks.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats