مهاجمان SolarWinds برای جاسوسی از دیپلمات ها، بی ام و را آویزان می کنند

گروه مورد حمایت روسیه در پشت حمله بدنام SolarWinds، «تعداد شگفت‌انگیز» دیپلمات‌های خارجی را که در سفارت‌خانه‌ها در اوکراین کار می‌کنند، هدف قرار می‌دهد با فریب‌هایی که کمی شخصی‌تر از هزینه‌های سیاسی سنتی است که معمولاً برای ترغیب آنها برای کلیک کردن روی پیوندهای مخرب استفاده می‌شود.

محققان از واحد 42 شبکه پالو آلتو این گروه را مشاهده کردند - که آنها آن را دنبال می کنند دب خرقه دار اما که بیشتر با نام Nobelium/APT29 شناخته می شود - وسیله نقلیه ای برای رفت و آمد در آن.

به نظر می رسید که فریب اولیه در این کمپین از یک بروشور قانونی برای فروش یک سدان کارکرده BMW در کیف استفاده می کرد که توسط یک دیپلمات در وزارت امور خارجه لهستان به سفارتخانه های مختلف پخش شد. محققان خاطرنشان کردند، اگرچه به نظر می رسد نسبتاً بی گناه است، اما فروش یک خودروی قابل اعتماد از یک دیپلمات مورد اعتماد - به ویژه در یک منطقه جنگ زده مانند اوکراین - قطعاً می تواند توجه یک تازه وارد را به صحنه جلب کند.

این چیزی است که Cloaked Ursa از آن به عنوان یک فرصت استفاده کرد، و با تغییر هدف از بروشور برای ایجاد یکی از نامشروع خود، که گروه دو هفته بعد به عنوان طعمه در کمپین بدافزار خود به چندین ماموریت دیپلماتیک فرستاد. این گروه در پیام یک پیوند مخرب گنجانده است که می‌گوید هدف‌ها می‌توانند عکس‌های بیشتری از خودرو را در آنجا پیدا کنند. قربانیان با کلیک بر روی پیوندی که بدافزار را بدون صدا در پس‌زمینه اجرا می‌کند، در حالی که تصویر انتخاب‌شده روی صفحه قربانی نمایش داده می‌شود، چیزی بیش از عکس‌ها را پیدا می‌کنند.

محموله کمپین یک بدافزار مبتنی بر جاوا اسکریپت است که به مهاجمان یک درب پشتی آماده جاسوسی به سیستم قربانی می‌دهد و توانایی بارگیری کدهای مخرب بیشتر را از طریق اتصال فرمان و کنترل (C2) می‌دهد.

تهدید دائمی پیشرفته (APT) با استفاده از آدرس های ایمیل سفارت در دسترس عموم برای حدود 80 درصد از قربانیان هدف، و آدرس های ایمیل منتشر نشده ای که در سطح وب برای 20 درصد دیگر یافت نمی شوند، از پیش برنامه ریزی برای ایجاد لیست هدف خود نشان داد. طبق واحد 42، این احتمالاً "دسترسی آنها را به شبکه های مورد نظر به حداکثر می رساند."

به گفته آنها، محققان مشاهده کردند که خرس پنهانی علیه 22 ماموریت خارجی از 80 ماموریت خارجی در اوکراین انجام می شود، اما تعداد واقعی اهداف احتمالاً بیشتر است.

بر اساس واحد 42، «این موضوع برای عملیات‌های APT با محدوده محدود و مخفیانه بسیار خیره‌کننده است».

تغییر در تاکتیک های سایبری بدافزار

محققان نشان دادند که این یک محور استراتژیک از استفاده از موضوعات مرتبط با شغل آنها به عنوان طعمه است یک پست وبلاگ این هفته منتشر شد

محققان نوشتند: «این فریب‌های غیر متعارف برای ترغیب گیرنده طراحی شده‌اند تا بر اساس نیازها و خواسته‌های خود به جای بخشی از وظایف معمول خود، یک دلبستگی را باز کنند.»

محققان پیشنهاد کردند که این تغییر در تاکتیک های فریب می تواند حرکتی برای افزایش ضریب موفقیت کمپین نه تنها برای به خطر انداختن هدف اولیه بلکه سایر افراد در همان سازمان باشد، در نتیجه دامنه آن را گسترش دهد.

آنها در این پست نوشتند: "این فریب ها به طور گسترده در سراسر جامعه دیپلماتیک قابل استفاده هستند و بنابراین می توانند به تعداد بیشتری از اهداف ارسال و ارسال شوند." "همچنین احتمال بیشتری وجود دارد که به دیگران در داخل یک سازمان و همچنین در جامعه دیپلماتیک ارسال شوند."

Cloaked Ursa/Nobelium/APT29، یک گروه تحت حمایت دولتی مرتبط با سرویس اطلاعات خارجی روسیه (SVR) است که شاید بیشتر به دلیل حمله به SolarWinds، که با یک درب پشتی کشف شده در دسامبر 2020 شروع شد که از طریق به روز رسانی نرم افزار آلوده به حدود 18,000 سازمان سرایت کرد - و هنوز هم در سراسر زنجیره تامین نرم افزار تاثیر دارد.

این گروه از آن زمان تاکنون به طور مداوم فعال بوده و مجموعه‌ای از آنها را راه‌اندازی کرده است حملات که با موضع کلی ژئوپلیتیک روسیه در برابر آن همخوانی دارد وزارتخانه ها و دیپلمات های مختلف خارجی، و دولت آمریکا. یک مخرج مشترک در بین حوادث الف است پیچیدگی در هر دو تاکتیک و توسعه بدافزار سفارشی.

واحد 42 شباهت‌هایی با دیگر کمپین‌های شناخته‌شده از Cloaked Ursa، از جمله اهداف حمله، و همپوشانی کد با سایر بدافزارهای شناخته‌شده این گروه را ذکر کرد.

کاهش حملات سایبری APT به جامعه مدنی

محققان توصیه هایی را برای افرادی که در ماموریت های دیپلماتیک حضور داشتند ارائه کردند تا طعمه حملات پیچیده و هوشمندانه APT هایی مانند Cloaked Ursa نشوند. یکی این است که مدیران دیپلمات های تازه منصوب شده را در مورد تهدیدات امنیت سایبری برای منطقه قبل از ورود آموزش می دهند.

کارمندان دولتی یا شرکت‌ها به طور کلی همیشه باید مراقب دانلودها باشند، حتی از سایت‌های به ظاهر بی‌ضرر یا قانونی، و همچنین در هنگام استفاده از سرویس‌های کوتاه‌کننده URL، اقدامات احتیاطی بیشتری را برای رعایت تغییر مسیر URL انجام دهند، زیرا این می‌تواند نشانه حمله فیشینگ باشد.

به گفته محققان، مردم همچنین باید به پیوست‌های ایمیل‌ها توجه زیادی داشته باشند تا قربانی فیشینگ نشوند. آنها باید انواع پسوند فایل را تأیید کنند تا مطمئن شوند که فایلی که باز می‌کنند همان فایلی است که می‌خواهند، و از فایل‌هایی با پسوندهایی که مطابقت ندارند یا سعی در مبهم کردن ماهیت فایل ندارند، اجتناب کنند.

در نهایت، محققان پیشنهاد کردند که کارمندان دیپلماتیک به عنوان یک قاعده، جاوا اسکریپت را غیرفعال کنند، که باعث می شود هر بدافزار مبتنی بر زبان برنامه نویسی قادر به اجرا نباشد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats