اطلاعات روسیه قربانیان را در سراسر جهان در حملات سایبری سریع هدف قرار می دهد

هکرهای دولتی روسیه کمپین های فیشینگ هدفمند را در حداقل نه کشور در چهار قاره انجام می دهند. ایمیل‌های آن‌ها تجارت رسمی دولتی را تبلیغ می‌کنند و در صورت موفقیت، نه تنها داده‌های حساس سازمانی، بلکه اطلاعات ژئوپلیتیک با اهمیت استراتژیک را نیز تهدید می‌کنند.

چنین طرح پیچیده و چند وجهی تنها می تواند توسط گروهی به اندازه خرس فانتزی (با نام مستعار APT28، Forest Blizzard، Frozenlake، Sofacy Group، Strontium، UAC-028، و بسیاری از نام‌های مستعار دیگر هنوز)، که IBM X-Force آن‌ها را به‌عنوان ITG05 دنبال می‌کند. یک گزارش جدید.

علاوه بر فریب‌های متقاعدکننده با مضمون دولتی و سه نوع جدید از درهای پشتی سفارشی، این کمپین بیشتر از همه برای اطلاعاتی که هدف قرار می‌دهد برجسته می‌شود: به نظر می‌رسد Fancy Bear به دنبال اطلاعات بسیار خاص برای استفاده دولت روسیه است.

فریب های فیشینگ دولتی

Fancy Bear از حداقل 11 فریب منحصر به فرد در کمپین هایی که سازمان ها را در آرژانتین، اوکراین، گرجستان، بلاروس، قزاقستان، لهستان، ارمنستان، آذربایجان و ایالات متحده هدف قرار می دهد، استفاده کرده است.

این فریب ها مانند اسناد رسمی مرتبط با دولت های بین المللی به نظر می رسد که موضوعات گسترده ای مانند امور مالی، زیرساخت های حیاتی، تعهدات اجرایی، امنیت سایبری، امنیت دریایی، مراقبت های بهداشتی و تولید صنعتی دفاعی را پوشش می دهد.

برخی از این اسناد مشروع و در دسترس عموم هستند. برخی دیگر، به طور جالبی، به نظر می رسد داخلی برای سازمان های دولتی خاص هستند، و این سوال را مطرح می کنند که چگونه Fancy Bear در وهله اول به آنها دست پیدا کرد.

Claire Zaboeva، شکارچی تهدید برای IBM X-Force می‌گوید: «X-Force بینشی در مورد اینکه آیا ITG05 با موفقیت سازمان‌های جعل هویت شده را به خطر انداخته است، ندارد. «از آنجایی که ممکن است ITG05 از دسترسی غیرمجاز برای جمع‌آوری اسناد داخلی استفاده کند، ما به عنوان بخشی از خط‌مشی افشای مسئولانه خود، قبل از انتشار به همه طرف‌های تقلید اطلاع داده‌ایم.»

از طرف دیگر، Fancy Bear/ITGO5 ممکن است صرفاً فایل‌های واقعی را تقلید کرده باشد. او گفت: «به عنوان مثال، برخی از اسناد کشف شده دارای اشتباهات قابل توجهی مانند غلط املایی نام طرف های اصلی در قراردادهای رسمی دولتی هستند.

یک انگیزه بالقوه؟

یکی دیگر از ویژگی های مهم این لول ها این است که کاملاً خاص هستند.

نمونه‌های زبان انگلیسی شامل یک مقاله خط‌مشی امنیت سایبری از یک سازمان غیردولتی گرجستان، و یک برنامه سفر ژانویه است که جزئیات نشست و تمرین بل بویه 2024 (XBB24) برای شرکت‌کنندگان گروه کاری کشتیرانی اقیانوس هند (PACIOSWG) نیروی دریایی ایالات متحده را نشان می‌دهد.

و فریب هایی با مضمون مالی وجود دارد: یک سند بلاروسی با توصیه هایی برای ایجاد شرایط تجاری برای تسهیل بنگاه های بین دولتی تا سال 2025، همسو با ابتکار اتحادیه اقتصادی اوراسیا، یک سند سیاست بودجه ای وزارت اقتصاد آرژانتین که "رهنمودهای استراتژیک" را برای کمک به رئیس جمهور با سیاست اقتصادی ملی، و بیشتر در این راستا.

X-Force در گزارش خود در مورد این کمپین گفت: "به احتمال زیاد جمع آوری اطلاعات حساس در مورد نگرانی های بودجه و وضعیت امنیتی نهادهای جهانی یک هدف با اولویت بالا با توجه به فضای ماموریت ایجاد شده ITG05 است."

به عنوان مثال، آرژانتین اخیراً دعوت برای پیوستن به سازمان تجاری BRICS (برزیل، روسیه، هند، چین، آفریقای جنوبی) را رد کرده است، بنابراین «این امکان وجود دارد که ITG05 به دنبال دستیابی به دسترسی هایی باشد که ممکن است بینشی در مورد اولویت های دولت آرژانتین ایجاد کند. X-Force گفت.

فعالیت پس از بهره برداری

علاوه بر ویژگی و ظاهر مشروعیت، مهاجمان از یک ترفند روانشناختی دیگر برای به دام انداختن قربانیان استفاده می‌کنند: ارائه در ابتدا تنها با نسخه‌ای مبهم از سند. مانند تصویر زیر، گیرندگان می توانند جزئیات کافی را ببینند تا متوجه شوند که این اسناد رسمی و مهم به نظر می رسند، اما نه به اندازه ای که مجبور نباشند روی آنها کلیک کنند.

نمونه سند فریب؛ منبع: IBM

هنگامی که قربانیان در سایت‌های تحت کنترل مهاجم کلیک می‌کنند تا اسناد فریبنده را مشاهده کنند، یک درب پشتی پایتون به نام «Masepie» را دانلود می‌کنند. برای اولین بار در دسامبر کشف شد، این قابلیت را دارد که پایداری را در یک ماشین ویندوز ایجاد کند و بارگیری و آپلود فایل ها و اجرای دستور دلخواه را ممکن کند.

یکی از فایل‌هایی که Masepie در ماشین‌های آلوده دانلود می‌کند، «Oceanmap» است، یک ابزار مبتنی بر سی شارپ برای اجرای دستورات از طریق پروتکل دسترسی به پیام‌های اینترنتی (IMAP). نوع اصلی Oceanmap - نه مورد استفاده شده در اینجا - دارای قابلیت سرقت اطلاعات بود که از آن زمان جدا شده و به "Steelhook"، دیگر محموله بارگیری شده توسط Masepie مرتبط با این کمپین منتقل شده است.

Steelhook یک اسکریپت PowerShell است که وظیفه آن استخراج داده ها از Google Chrome و Microsoft Edge از طریق یک وب هوک است.

قابل توجه تر از بدافزار آن، بی واسطه بودن عمل Fancy Bear است. مانند اولین بار توصیف توسط تیم واکنش اضطراری کامپیوتری اوکراین (CERT-UA)، عفونت خرس فانتزی با اولین ساعت فرود بر روی ماشین قربانی، دانلود درب های پشتی و انجام شناسایی و حرکت جانبی از طریق هش های NTLMv2 به سرقت رفته برای حملات رله.

بنابراین قربانیان بالقوه باید سریع عمل کنند یا بهتر است از قبل برای عفونت خود آماده شوند. آن‌ها می‌توانند این کار را با پیروی از لیست توصیه‌های IBM انجام دهند: نظارت بر ایمیل‌های دارای آدرس‌های اینترنتی ارائه‌شده توسط ارائه‌دهنده میزبانی Fancy Bear، FirstCloudIT، و ترافیک مشکوک IMAP به سرورهای ناشناس، و رفع آسیب‌پذیری‌های مورد علاقه آن - مانند CVE-2024-21413، CVE-2024. -21410، CVE-2023-23397، CVE-2023-35636 - و خیلی بیشتر.

محققان نتیجه گرفتند: «ITG05 به حملات اهرمی علیه دولت‌های جهانی و دستگاه سیاسی آن‌ها ادامه خواهد داد تا بینش پیشرفته‌ای را درباره تصمیم‌های سیاستی اضطراری به روسیه ارائه دهد».

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks