Russian state hackers are performing targeted phishing campaigns in at least nine countries spread across four continents. Their emails tout official government business and, if successful, threaten not just sensitive organizational data, but also geopolitical intelligence of strategic importance.
Such a sophisticated, multi-pronged plot could only be wrought by a group as prolific as خرس فانتزی (aka APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028, and many more aliases still), which IBM X-Force tracks as ITG05 in یک گزارش جدید.
Besides the convincing government-themed lures and three new variants of custom backdoors, the campaign stands out most for the information it targets: Fancy Bear appears to be aiming for highly specific information of use to the Russian government.
Government Phishing Lures
Fancy Bear has utilized at least 11 unique lures in campaigns targeting organizations in Argentina, Ukraine, Georgia, Belarus, Kazakhstan, Poland, Armenia, Azerbaijan, and the United States.
The lures look like official documents associated with international governments, covering themes as broad as finance, critical infrastructure, executive engagements, cybersecurity, maritime security, healthcare, and defense industrial production.
Some of these are legitimate, publicly accessible documents. Others, interestingly, appear to be internal to specific government agencies, raising the question of how Fancy Bear got its hands on them in the first place.
“X-Force does not have insight into whether ITG05 has successfully compromised the impersonated organizations,” notes Claire Zaboeva, threat hunter for IBM X-Force. “As it is possible ITG05 leveraged unauthorized access to collect internal documents, we have notified all imitated parties of the activity prior to publication as a part of our Responsible Disclosure Policy.”
Alternatively, Fancy Bear/ITGO5 may have merely imitated real files. “For instance, some of the uncovered documents feature noticeable errors like misspelling the names of principal parties in what appear to be official government contracts,” she said.
A Potential Motive?
Another important quality of these lures is that they are quite specific.
English language examples include a cybersecurity policy paper from a Georgian NGO, and a January itinerary detailing the 2024 Meeting and Exercise Bell Buoy (XBB24) for participants of the US Navy’s Pacific Indian Ocean Shipping Working Group (PACIOSWG).
And there are the finance-themed lures: a Belarussian document with recommendations for creating commercial conditions to facilitate interstate enterprise by 2025, in alignment with a Eurasian Economic Union initiative, an Argentine Ministry of Economy budgetary policy document offering “strategic guidelines” for assisting the president with national economic policy, and more along these lines.
“It is likely the collection of sensitive information regarding budget concerns and the security posture of global entities is a high-priority target given ITG05’s established mission space,” X-Force said in its report on the campaign.
Argentina, for example, recently rejected an invitation to join the BRICS (Brazil, Russia, India, China, South Africa) trade organization, so “it is possible that ITG05 seeks to attain access that may yield insight into the priorities of the Argentine government,” X-Force said.
Post-Exploitation Activity
Besides specificity and an appearance of legitimacy, the attackers use one more psychological trick to ensnare victims: presenting them initially with only a blurred version of the document. As in the image below, recipients can see just enough detail to make out that these documents appear official and important, but not enough to avoid having to click on them.
Sample lure document; Source: IBM
When victims on attacker-controlled sites click to view the lure documents, they download a Python backdoor called “Masepie.” First discovered in December, it’s capable of establishing persistence in a Windows machine, and enabling the downloading and uploading of files and arbitrary command execution.
One of the files Masepie downloads to infected machines is “Oceanmap,” a C#-based tool for command execution via the Internet Message Access Protocol (IMAP). Oceanmap’s original variant – not the one used here – had information-stealing functionality which has since been excised and transferred to “Steelhook,” the other Masepie-downloaded payload associated with this campaign.
Steelhook is a PowerShell script whose job is to exfiltrate data from Google Chrome and Microsoft Edge via a webhook.
More notable than its malware is Fancy Bear’s immediacy of action. As اولین بار توصیف by Ukraine’s Computer Emergency Response Team (CERT-UA), Fancy Bear infections with the first hour of landing on a victim machine, download backdoors and conduct reconnaissance and lateral movement via stolen NTLMv2 hashes for relay attacks.
So potential victims need to act quickly or, better yet, prepare in advance for their infections. They can do so by following IBM’s laundry list of recommendations: monitoring for emails with URLs served by Fancy Bear’s hosting provider, FirstCloudIT, and suspicious IMAP traffic to unknown servers, addressing its favored vulnerabilities – such as CVE-2024-21413, CVE-2024-21410, CVE-2023-23397, CVE-2023-35636 – and much more.
“ITG05 will continue to leverage attacks against world governments and their political apparatus to provide Russia with advanced insight into emergent policy decisions,” the researchers concluded.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks
- : دارد
- :است
- :نه
- 11
- 2024
- 2025
- 7
- a
- دسترسی
- پروتکل دسترسی
- در دسترس
- در میان
- عمل
- عمل
- فعالیت
- خطاب به
- پیشرفت
- پیشرفته
- افریقا
- در برابر
- سازمان
- هدف
- نام
- هم ترازی
- معرفی
- در امتداد
- همچنین
- an
- و
- ظاهر شدن
- ظاهر می شود
- دلخواه
- هستند
- آرژانتین
- نقره
- AS
- کمک کردن
- مرتبط است
- At
- حمله
- رسیدن
- اجتناب از
- آذربایجان
- درپشتی
- پشتيباني
- BE
- خرس
- بوده
- بلاروس
- ناقوس
- در زیر
- بهتر
- برزیل
- brics
- پهن
- بودجه
- کسب و کار
- اما
- by
- نام
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- توانا
- چین
- کروم
- کلیک
- جمع آوری
- مجموعه
- تجاری
- در معرض خطر
- کامپیوتر
- نگرانی ها
- به این نتیجه رسیدند
- شرایط
- رفتار
- قاره ها
- ادامه دادن
- قرارداد
- میتوانست
- کشور
- پوشش
- ایجاد
- بحرانی
- زیرساخت های بحرانی
- سفارشی
- حملات سایبری
- امنیت سایبری
- داده ها
- دسامبر
- تصمیم گیری
- دفاع
- جزئیات
- جزئیات
- افشاء
- کشف
- do
- سند
- اسناد و مدارک
- میکند
- دانلود
- دانلود
- دانلود
- اقتصادی
- سیاست اقتصادی
- اقتصاد
- لبه
- ایمیل
- اورژانس
- را قادر می سازد
- درگیری
- کافی
- سرمایه گذاری
- اشخاص
- خطاهای
- تاسیس
- ایجاد
- مثال
- مثال ها
- اعدام
- اجرایی
- ورزش
- تسهیل کردن
- علاقه داشتن به
- ویژگی
- فایل ها
- سرمایه گذاری
- نام خانوادگی
- پیروی
- برای
- جنگل
- چهار
- از جانب
- قابلیت
- جغرافیای سیاسی
- گرجستان
- گرجی
- داده
- جهانی
- گوگل
- گوگل کروم
- کردم
- دولت
- سازمان های دولتی
- دولت ها
- گروه
- دستورالعمل ها
- هکرها
- بود
- دست ها
- آیا
- داشتن
- بهداشت و درمان
- اینجا کلیک نمایید
- خیلی
- میزبانی وب
- ساعت
- چگونه
- HTTPS
- شکارچی
- آی بی ام
- if
- تصویر
- اهمیت
- مهم
- in
- شامل
- هندوستان
- هندی
- صنعتی
- تولید صنعتی
- عفونی
- عفونت
- اطلاعات
- شالوده
- در ابتدا
- ابتکار عمل
- بینش
- نمونه
- اطلاعات
- داخلی
- بین المللی
- اینترنت
- به
- دعوت
- IT
- ITS
- ژانویه
- کار
- پیوستن
- تنها
- قزاقستان
- فرود
- زبان
- کمترین
- مشروعیت
- قانونی
- قدرت نفوذ
- اهرم
- پسندیدن
- احتمالا
- خطوط
- فهرست
- نگاه کنيد
- شبیه
- دستگاه
- ماشین آلات
- ساخت
- نرم افزارهای مخرب
- بسیاری
- دریایی
- ممکن است..
- نشست
- صرفا - فقط
- پیام
- مایکروسافت
- مایکروسافت لبه
- وزارتخانه
- وزارت اقتصاد
- ماموریت
- نظارت بر
- بیش
- اکثر
- انگیزه
- جنبش
- بسیار
- نام
- ملی
- نیاز
- جدید
- نگو
- نه نفر
- قابل توجه
- یادداشت
- اقیانوس
- of
- ارائه
- رسمی
- on
- ONE
- فقط
- or
- کدام سازمان ها
- سازمانی
- سازمان های
- اصلی
- دیگر
- دیگران
- ما
- خارج
- ارام
- مقاله
- بخش
- شرکت کنندگان
- احزاب
- انجام
- اصرار
- فیشینگ
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- طرح
- لهستان
- سیاست
- سیاسی
- ممکن
- پتانسیل
- PowerShell را
- آماده
- ارائه
- رئيس جمهور
- اصلی
- قبلا
- تولید
- پربار
- پروتکل
- ارائه
- ارائه دهنده
- روانی
- انتشار
- عمومی
- پــایتــون
- کیفیت
- سوال
- به سرعت
- کاملا
- بالا بردن
- واقعی
- تازه
- گیرندگان
- توصیه
- با توجه
- رد شد..
- گزارش
- محققان
- پاسخ
- مسئوليت
- روسیه
- روسی
- s
- سعید
- خط
- تیم امنیت لاتاری
- دیدن
- جستجو می کند
- حساس
- خدمت کرده است
- سرور
- او
- حمل
- پس از
- سایت
- So
- برخی از
- مصنوعی
- منبع
- جنوب
- آفریقای جنوبی
- فضا
- خاص
- اختصاصی
- گسترش
- می ایستد
- دولت
- ایالات
- هنوز
- به سرقت رفته
- استراتژیک
- موفق
- موفقیت
- چنین
- مشکوک
- هدف
- هدف قرار
- هدف گذاری
- اهداف
- تیم
- نسبت به
- که
- La
- اطلاعات
- شان
- آنها
- تم
- آنجا.
- اینها
- آنها
- این
- تهدید
- تهدید کن
- سه
- به
- ابزار
- آهنگ
- تجارت
- ترافیک
- منتقل
- فوت و فن
- اوکراین
- غیر مجاز
- کشف
- اتحادیه
- منحصر به فرد
- متحد
- ایالات متحده
- ناشناخته
- آپلود
- us
- استفاده کنید
- استفاده
- استفاده
- نوع دیگر
- نسخه
- از طريق
- قربانی
- قربانیان
- چشم انداز
- آسیب پذیری ها
- we
- چی
- چه
- که
- که
- اراده
- پنجره
- با
- کارگر
- گروه کاری
- جهان
- در سرتاسر جهان
- هنوز
- بازده
- زفیرنت