گروه مورد حمایت روسیه در پشت حمله بدنام SolarWinds، «تعداد شگفتانگیز» دیپلماتهای خارجی را که در سفارتخانهها در اوکراین کار میکنند، هدف قرار میدهد با فریبهایی که کمی شخصیتر از هزینههای سیاسی سنتی است که معمولاً برای ترغیب آنها برای کلیک کردن روی پیوندهای مخرب استفاده میشود.
محققان از واحد 42 شبکه پالو آلتو این گروه را مشاهده کردند - که آنها آن را دنبال می کنند دب خرقه دار اما که بیشتر با نام Nobelium/APT29 شناخته می شود - وسیله نقلیه ای برای رفت و آمد در آن.
به نظر می رسید که فریب اولیه در این کمپین از یک بروشور قانونی برای فروش یک سدان کارکرده BMW در کیف استفاده می کرد که توسط یک دیپلمات در وزارت امور خارجه لهستان به سفارتخانه های مختلف پخش شد. محققان خاطرنشان کردند، اگرچه به نظر می رسد نسبتاً بی گناه است، اما فروش یک خودروی قابل اعتماد از یک دیپلمات مورد اعتماد - به ویژه در یک منطقه جنگ زده مانند اوکراین - قطعاً می تواند توجه یک تازه وارد را به صحنه جلب کند.
این چیزی است که Cloaked Ursa از آن به عنوان یک فرصت استفاده کرد، و با تغییر هدف از بروشور برای ایجاد یکی از نامشروع خود، که گروه دو هفته بعد به عنوان طعمه در کمپین بدافزار خود به چندین ماموریت دیپلماتیک فرستاد. این گروه در پیام یک پیوند مخرب گنجانده است که میگوید هدفها میتوانند عکسهای بیشتری از خودرو را در آنجا پیدا کنند. قربانیان با کلیک بر روی پیوندی که بدافزار را بدون صدا در پسزمینه اجرا میکند، در حالی که تصویر انتخابشده روی صفحه قربانی نمایش داده میشود، چیزی بیش از عکسها را پیدا میکنند.
محموله کمپین یک بدافزار مبتنی بر جاوا اسکریپت است که به مهاجمان یک درب پشتی آماده جاسوسی به سیستم قربانی میدهد و توانایی بارگیری کدهای مخرب بیشتر را از طریق اتصال فرمان و کنترل (C2) میدهد.
تهدید دائمی پیشرفته (APT) با استفاده از آدرس های ایمیل سفارت در دسترس عموم برای حدود 80 درصد از قربانیان هدف، و آدرس های ایمیل منتشر نشده ای که در سطح وب برای 20 درصد دیگر یافت نمی شوند، از پیش برنامه ریزی برای ایجاد لیست هدف خود نشان داد. طبق واحد 42، این احتمالاً "دسترسی آنها را به شبکه های مورد نظر به حداکثر می رساند."
به گفته آنها، محققان مشاهده کردند که خرس پنهانی علیه 22 ماموریت خارجی از 80 ماموریت خارجی در اوکراین انجام می شود، اما تعداد واقعی اهداف احتمالاً بیشتر است.
بر اساس واحد 42، «این موضوع برای عملیاتهای APT با محدوده محدود و مخفیانه بسیار خیرهکننده است».
تغییر در تاکتیک های سایبری بدافزار
محققان نشان دادند که این یک محور استراتژیک از استفاده از موضوعات مرتبط با شغل آنها به عنوان طعمه است یک پست وبلاگ این هفته منتشر شد
محققان نوشتند: «این فریبهای غیر متعارف برای ترغیب گیرنده طراحی شدهاند تا بر اساس نیازها و خواستههای خود به جای بخشی از وظایف معمول خود، یک دلبستگی را باز کنند.»
محققان پیشنهاد کردند که این تغییر در تاکتیک های فریب می تواند حرکتی برای افزایش ضریب موفقیت کمپین نه تنها برای به خطر انداختن هدف اولیه بلکه سایر افراد در همان سازمان باشد، در نتیجه دامنه آن را گسترش دهد.
آنها در این پست نوشتند: "این فریب ها به طور گسترده در سراسر جامعه دیپلماتیک قابل استفاده هستند و بنابراین می توانند به تعداد بیشتری از اهداف ارسال و ارسال شوند." "همچنین احتمال بیشتری وجود دارد که به دیگران در داخل یک سازمان و همچنین در جامعه دیپلماتیک ارسال شوند."
Cloaked Ursa/Nobelium/APT29، یک گروه تحت حمایت دولتی مرتبط با سرویس اطلاعات خارجی روسیه (SVR) است که شاید بیشتر به دلیل حمله به SolarWinds، که با یک درب پشتی کشف شده در دسامبر 2020 شروع شد که از طریق به روز رسانی نرم افزار آلوده به حدود 18,000 سازمان سرایت کرد - و هنوز هم در سراسر زنجیره تامین نرم افزار تاثیر دارد.
این گروه از آن زمان تاکنون به طور مداوم فعال بوده و مجموعهای از آنها را راهاندازی کرده است حملات که با موضع کلی ژئوپلیتیک روسیه در برابر آن همخوانی دارد وزارتخانه ها و دیپلمات های مختلف خارجی، و دولت آمریکا. یک مخرج مشترک در بین حوادث الف است پیچیدگی در هر دو تاکتیک و توسعه بدافزار سفارشی.
واحد 42 شباهتهایی با دیگر کمپینهای شناختهشده از Cloaked Ursa، از جمله اهداف حمله، و همپوشانی کد با سایر بدافزارهای شناختهشده این گروه را ذکر کرد.
کاهش حملات سایبری APT به جامعه مدنی
محققان توصیه هایی را برای افرادی که در ماموریت های دیپلماتیک حضور داشتند ارائه کردند تا طعمه حملات پیچیده و هوشمندانه APT هایی مانند Cloaked Ursa نشوند. یکی این است که مدیران دیپلمات های تازه منصوب شده را در مورد تهدیدات امنیت سایبری برای منطقه قبل از ورود آموزش می دهند.
کارمندان دولتی یا شرکتها به طور کلی همیشه باید مراقب دانلودها باشند، حتی از سایتهای به ظاهر بیضرر یا قانونی، و همچنین در هنگام استفاده از سرویسهای کوتاهکننده URL، اقدامات احتیاطی بیشتری را برای رعایت تغییر مسیر URL انجام دهند، زیرا این میتواند نشانه حمله فیشینگ باشد.
به گفته محققان، مردم همچنین باید به پیوستهای ایمیلها توجه زیادی داشته باشند تا قربانی فیشینگ نشوند. آنها باید انواع پسوند فایل را تأیید کنند تا مطمئن شوند که فایلی که باز میکنند همان فایلی است که میخواهند، و از فایلهایی با پسوندهایی که مطابقت ندارند یا سعی در مبهم کردن ماهیت فایل ندارند، اجتناب کنند.
در نهایت، محققان پیشنهاد کردند که کارمندان دیپلماتیک به عنوان یک قاعده، جاوا اسکریپت را غیرفعال کنند، که باعث می شود هر بدافزار مبتنی بر زبان برنامه نویسی قادر به اجرا نباشد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats
- : دارد
- :است
- :نه
- 000
- 2020
- 22
- 7
- 80
- a
- توانایی
- قادر
- درباره ما
- دسترسی
- مطابق
- در میان
- فعال
- واقعی
- آدرس
- مدیران
- پیشرفته
- نصیحت
- امور
- در برابر
- تراز
- همچنین
- همیشه
- an
- و
- هر
- به نظر می رسد
- مربوط
- APT
- هستند
- محدوده
- دور و بر
- ورود
- AS
- اختصاص داده
- مرتبط است
- At
- حمله
- حمله
- توجه
- در دسترس
- اجتناب از
- اجتناب از
- درپشتی
- زمینه
- طعمه
- مستقر
- BE
- پشت سر
- بودن
- بهترین
- بهتر
- بیت
- بلاگ
- BMW
- هر دو
- گسترده
- اما
- by
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- ماشین
- محتاط
- زنجیر
- تغییر دادن
- کلیک
- نزدیک
- رمز
- مشترک
- انجمن
- سازش
- ارتباط
- شرکت
- میتوانست
- ایجاد
- سفارشی
- سایبر
- حملات سایبری
- امنیت سایبری
- دسامبر
- قطعا
- طراحی
- مطلوب
- دیپلمات
- کشف
- صفحه نمایش
- دان
- دانلود
- قرعه کشی
- پست الکترونیک
- ایمیل
- کارکنان
- اطمینان حاصل شود
- به خصوص
- حتی
- اجرا کردن
- اجرا می کند
- گسترش
- گسترش
- ضمیمهها
- اضافی
- عامل
- منصفانه
- سقوط
- پرونده
- فایل ها
- پیدا کردن
- برای
- خارجی
- یافت
- از جانب
- بیشتر
- سوالات عمومی
- عموما
- تولید می کنند
- جغرافیای سیاسی
- دریافت کنید
- می دهد
- دولت
- بیشتر
- گروه
- داشتن
- بالاتر
- HTTPS
- if
- تصویر
- تأثیر
- in
- مشمول
- از جمله
- افزایش
- ننگین
- اول
- بی گناه
- داخل
- در عوض
- اطلاعات
- به
- IT
- ITS
- جاوا اسکریپت
- شغل ها
- JPG
- تنها
- شناخته شده
- زبان
- بعد
- قانونی
- پسندیدن
- احتمالا
- ارتباط دادن
- لینک ها
- فهرست
- بار
- نرم افزارهای مخرب
- مسابقه
- ماده
- بیشینه ساختن
- پیام
- وزارتخانه
- ماموریت
- بیش
- حرکت
- چندگانه
- طبیعت
- نیازهای
- شبکه
- جدید
- به تازگی
- به طور معمول
- اشاره کرد
- عدد
- مشاهده کردن
- of
- ارائه شده
- on
- ONE
- فقط
- باز کن
- افتتاح
- عملیات
- فرصت
- or
- کدام سازمان ها
- سازمان های
- دیگر
- دیگران
- به طور کلی
- خود
- پالو آلتو
- بخش
- پرداخت
- مردم
- شاید
- شخصی
- فیشینگ
- حمله فیشینگ
- عکس
- محور
- افلاطون
- هوش داده افلاطون
- PlatoData
- لهستانی
- سیاسی
- پست
- قبلا
- برنامه نويسي
- عمومی
- منتشر شده
- رسیدن به
- منطقه
- مربوط
- قابل اعتماد
- باقی مانده است
- محققان
- نشان داد
- قانون
- روسیه
- s
- سعید
- فروش
- همان
- گفته
- صحنه
- حوزه
- پرده
- ظاهرا
- به نظر می رسد
- انتخاب شد
- فرستاده
- سلسله
- سرویس
- خدمات
- باید
- نشان داد
- شباهت ها
- پس از
- سایت
- نرم افزار
- SolarWinds
- برخی از
- چیزی
- مصنوعی
- گسترش
- آغاز شده
- هنوز
- استراتژیک
- موضوع
- موفقیت
- عرضه
- زنجیره تامین
- سطح
- سیستم
- تاکتیک
- گرفتن
- هدف
- هدف قرار
- هدف گذاری
- اهداف
- نسبت به
- که
- La
- شان
- آنها
- خودشان
- سپس
- آنجا.
- اینها
- آنها
- این
- این هفته
- تهدید
- تهدید
- از طریق
- به
- مسیر
- سنتی
- قطار
- مورد اعتماد
- دو
- انواع
- اوکراین
- ناتوان
- غیر متعارف
- واحد
- به روز رسانی
- URL
- us
- دولت ایالات متحده
- استفاده کنید
- استفاده
- با استفاده از
- مختلف
- وسیله نقلیه
- بررسی
- از طريق
- قربانی
- قربانیان
- می خواهم
- می خواهد
- بود
- وب
- هفته
- هفته
- خوب
- چی
- چه زمانی
- که
- در حین
- با
- در داخل
- کارگر
- خواهد بود
- نوشت
- زفیرنت