مجرمان روسی SolarWinds رگبار جدیدی از حملات سایبری جاسوسی را راه اندازی کردند

به عنوان بخشی از تهاجم مداوم خود به اوکراین، اطلاعات روسیه بار دیگر از خدمات گروه هکر Nobelium/APT29 استفاده کرده است، این بار برای جاسوسی از وزارتخانه‌های خارجه و دیپلمات‌های کشورهای عضو ناتو، و همچنین سایر اهداف در اتحادیه اروپا و آفریقا. .

این زمان همچنین با موجی از حملات به زیرساخت‌های کانادا که گمان می‌رود با روسیه مرتبط است نیز همراه است.

سرویس ضد جاسوسی نظامی لهستان و تیم CERT در لهستان در 13 آوریل هشداری را همراه با شاخص‌های سازش صادر کردند و به اهداف احتمالی کمپین جاسوسی در مورد تهدید هشدار دادند. نوبلهمانطور که این گروه توسط مایکروسافت تعیین شده است، همچنین نامگذاری شده است APT29 توسط Mandiant، در بازی جاسوسی دولت-ملت جدید نیست، این گروه پشت بدنام بود حمله زنجیره تامین SolarWinds نزدیک به سه سال پیش

ارتش لهستان و هشدار CERT توضیح دادند که اکنون APT29 با مجموعه جدیدی از ابزارهای بدافزار و دستورات راهپیمایی گزارش شده برای نفوذ به دستگاه دیپلماتیک کشورهای حامی اوکراین بازگشته است.

APT29 با سفارشات جدید بازگشته است

طبق هشدار لهستانی، در هر مورد، تهدید دائمی پیشرفته (APT) حمله خود را با یک ایمیل فیشینگ نیزه ای آغاز می کند.

مقامات توضیح دادند: «ایمیل‌هایی که جعل هویت سفارت‌های کشورهای اروپایی برای پرسنل منتخب در پست‌های دیپلماتیک ارسال می‌شوند. مکاتبات حاوی دعوتی برای یک جلسه یا همکاری با یکدیگر بر روی اسناد بود.

سپس پیام گیرنده را هدایت می‌کند تا روی یک پیوند کلیک کند یا یک PDF دانلود کند تا به تقویم سفیر دسترسی پیدا کند، یا جزئیات جلسه را دریافت کند - هر دو اهداف را به یک سایت مخرب بارگذاری شده با "اسکریپت امضا" گروه تهدید ارسال می‌کند، که در گزارش به عنوان شناسایی می‌شود. "حسادت."

"t از تکنیک قاچاق HTML استفاده می کند - به موجب آن یک فایل مخرب قرار داده شده در صفحه با استفاده از جاوا اسکریپت زمانی که صفحه باز می شود رمزگشایی می شود و سپس در دستگاه قربانی دانلود می شود. "این امر تشخیص فایل مخرب در سمت سرور که در آن ذخیره شده است دشوارتر می شود."

در این هشدار آمده است که سایت مخرب همچنین پیامی را به اهداف ارسال می کند که به آنها اطمینان می دهد فایل صحیح را دانلود کرده اند.

پاتریک هار، مدیر عامل SlashNext، در مورد این کمپین به Dark Reading می گوید: «حملات Spear-phishing زمانی موفقیت آمیز هستند که ارتباطات به خوبی نوشته شده باشد، از اطلاعات شخصی برای نشان دادن آشنایی با هدف استفاده شود، و به نظر می رسد که از یک منبع قانونی می آیند. "این کمپین جاسوسی تمام معیارهای موفقیت را برآورده می کند."

یک ایمیل فیشینگبه عنوان مثال، سفارت لهستان را جعل کرد و، به طرز جالبی، در طول کمپین مشاهده شده، ابزار Envyscout سه بار با بهبودهای مبهم سازی بهینه سازی شد، مقامات لهستانی خاطرنشان کردند.

پس از به خطر افتادن، گروه از نسخه های اصلاح شده دانلودر Snowyamber، Halfrig استفاده می کند که اجرا می شود اعتصاب کبالت هشدار لهستانی گفت: به عنوان کد جاسازی شده و Quarterrig که کد را با Halfrig به اشتراک می گذارد.

هار می افزاید: «ما شاهد افزایش این حملات هستیم که در آن بازیگر بد از چندین مرحله در یک کمپین برای تنظیم و بهبود موفقیت استفاده می کند. آنها از تکنیک های اتوماسیون و یادگیری ماشین برای شناسایی مواردی که از شناسایی فرار می کنند استفاده می کنند و حملات بعدی را برای بهبود موفقیت اصلاح می کنند.
به گفته مقامات امنیت سایبری لهستان، دولت‌ها، دیپلمات‌ها، سازمان‌های بین‌المللی و سازمان‌های غیردولتی (NGO) باید در این زمینه و دیگر تلاش‌های جاسوسی روسیه در حالت آماده باش باشند.

مقامات گفتند: «سرویس ضد جاسوسی نظامی و CERT.PL اکیداً توصیه می‌کنند که همه نهادهایی که ممکن است در حوزه مورد علاقه بازیگر باشند، تغییرات پیکربندی را برای مختل کردن مکانیسم تحویل مورد استفاده در کمپین توصیف‌شده اعمال کنند».

حملات مرتبط با روسیه به زیرساخت های کانادا

علاوه بر هشدارهای مقامات امنیت سایبری لهستان، در هفته گذشته، جاستین ترودو، نخست وزیر کانادا، اظهاراتی علنی در مورد موج اخیر سایبری ارائه کرد. حملات سایبری مرتبط با روسیه با هدف زیرساخت های کانادا از جمله انکار حمله های سرویسی در آبکبک، ابزار برق، وب سایت دفتر ترودو، بندر کبکو بانک لورنتین ترودو گفت که حملات سایبری مربوط به حمایت کانادا از اوکراین است.

"ترودو گفت: چند حمله انکار سرویس به وب‌سایت‌های دولتی، که آنها را برای چند ساعت از کار می‌اندازد، باعث نمی‌شود که در موضع صریح خود برای انجام هر کاری که لازم است تا زمانی که برای حمایت از اوکراین لازم است تجدید نظر کنیم. ، با توجه به گزارش ها.

رئیس مرکز کانادایی امنیت سایبری، سامی خوری، هفته گذشته در یک کنفرانس خبری گفت که در حالی که هیچ آسیبی به زیرساخت های کانادا وارد نشده است، "تهدید واقعی است."" اگر سیستم های حیاتی که جوامع ما را تامین می کنند را اجرا می کنید، اینترنت را ارائه دهید. خوری گفت: دسترسی به کانادایی‌ها، ارائه مراقبت‌های بهداشتی یا به طور کلی خدماتی که کانادایی‌ها نمی‌توانند بدون آن‌ها انجام دهند، شما باید از سیستم‌های خود محافظت کنید. شبکه های خود را نظارت کنید. اقدامات کاهشی را اعمال کنید.»

تلاش‌های جرایم سایبری روسیه در حال افزایش است

در حالی که تهاجم روسیه به اوکراین در دومین سال خود ادامه دارد، مایک پارکین با Vulcan Cyber ​​می گوید که کمپین های اخیر به سختی نباید غافلگیر کننده باشد.

جامعه امنیت سایبری از زمان شروع درگیری در اوکراین، نظاره گر پیامدها و خسارات جانبی ناشی از درگیری در اوکراین بوده است و ما می‌دانیم که بازیگران تهدید روسیه و طرفدار روسیه علیه اهداف غربی فعال هستند. پارکین می گوید. "با در نظر گرفتن سطوحی از فعالیت‌های مجرمانه سایبری که قبلاً با آن‌ها سروکار داشتیم، [اینها] فقط چند ابزار جدید و اهداف جدید هستند - و یادآوری برای اطمینان از به‌روز بودن و پیکربندی صحیح دفاع‌های ما.»

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks