Venäjään liittyvät uhkatoimijat työskentelivät sekä PysOps että keihäs phishing kohdistaa käyttäjiin useiden kuukausien ajan vuoden 2023 lopussa moniaalisessa kampanjassa, jonka tarkoituksena on levittää väärää tietoa Ukrainassa ja varastaa Microsoft 365 -tunnistetietoja kaikkialla Euroopassa.
Operaatio, nimeltään Operation Texonto, tuli kahdessa eri aallossa, ensimmäinen loka-marraskuussa 2023 ja toinen marras-joulukuussa 2023, ESETin tutkijat havaitsivat. Kampanjan pääjakelumenetelmänä käytettiin erilaisia pysop-taktiikoita ja roskapostiviestejä. kirjoitusta julkaistu 22. helmikuuta.
Kronologisesti ensimmäinen kampanja oli keihäs-phishing-hyökkäys, joka kohdistui ukrainalaiseen puolustusyritykseen lokakuussa 2023 ja EU:n virastoon marraskuussa 2023. Toinen oli disinformaatiokampanja, joka keskittyi pääasiassa Ukrainan kohteisiin, joissa käytettiin lämmityskatkoksia, huumepulaa ja elintarvikepula - "tyypillisiä teemoja Venäjän propagandaan liittyvässä kampanjassa", tutkijat sanoivat.
Vaikka niillä oli erilaiset tavoitteet, molemmat käyttivät samanlaista verkkoinfrastruktuuria, joten ESET yhdisti nämä kaksi. Sitten, hieman juonenkäänteessä, Operation Texontoon liittyvä URL-osoite oli lähettää tyypillistä kanadalaista apteekkiroskapostia erillisessä kampanjassa, joka toteutettiin tammikuussa.
Venäjän ja Ukrainan hybridisota
Uhkakampanjoita ovat käyttäneet venäläiset uhkaavat toimijat, kuten Sandworm ja Gamaredon in kybersota Ukrainan kanssa se on ajaa samanaikaisesti kaksivuotisella maatoiminnalla ESETin mukaan. Hiekkamato erityisesti käytetyt pyyhkimet että häiritä Ukrainan IT-infrastruktuuria sodan alussa, kun taas Gamaredon on äskettäin vauhdittanut kybervakoiluoperaatioita.
"Operaatio Texonto osoittaa jälleen yhden teknologian käytön yrittää vaikuttaa sotaan", tutkijat kirjoittivat viestissä, vaikka he eivät liittäneet operaatiota tiettyyn toimijaan. "Löysimme muutamia tyypillisiä väärennettyjä Microsoftin kirjautumissivuja, mutta mikä tärkeintä, sähköpostilla oli kaksi pysop-aaltoa, jotka luultavasti yrittivät vaikuttaa Ukrainan kansalaisiin ja saada heidät uskomaan Venäjän voittavan."
Operaatio Texonto osoittaa myös muita merkittäviä poikkeamia tyypillisestä haitallisesta toiminnasta, toteaa tutkimusta johtanut ESET-tutkija Matthieu Faou Dark Readingille lähettämässään sähköpostissa.
"Mielenkiintoista Operation Texonto -tapauksessa on se, että sama uhkatoimija harjoittaa sekä disinformaatiota että keihäänkalastelukampanjoita, kun taas suurin osa uhkatoimijoista tekee jompaakumpaa", hän huomauttaa. "Sellaisenaan on selvää, että kyseessä on suunniteltu pysop, eikä vain joku, joka julkaisee vääriä tietoja Internetiin."
Kampanja osoittaa myös siirtymistä pois yleisten kanavien, kuten Telegramin tai väärennettyjen verkkosivustojen käytöstä haitallisten viestien välittämiseen, tutkijat huomauttavat.
Kaksi erilaista aaltoa
Ensimmäinen merkki operaatiosta tuli lokakuussa, kun suuren ukrainalaisen puolustusyhtiön työntekijät saivat a phishing-sähköposti oletettavasti IT-osastolta. Viestissä varoitettiin, että heidän postilaatikkonsa saatetaan poistaa ja että kirjautuakseen sisään heidän on napsautettava postilaatikon verkkoversioon johtavaa linkkiä ja kirjauduttava sisään tunnuksilla.
Linkki sen sijaan johtaa tietojenkalastelusivulle, jonka ESET-tutkijat arvelivat toisesta VirusTotalille toimitettuun operaatioon kuuluvasta verkkotunnuksesta, että se oli väärennetty Microsoftin kirjautumissivu Microsoft 365 -tunnistetietojen varastamiseksi, vaikka he eivät pystyneet hakemaan itse tietojenkalastelusivua.
Kampanjan seuraava aalto oli ensimmäinen pysops-operaatio, joka lähetti harhaanjohtavat tiedot PDF-liitteenä olevat sähköpostit vähintään muutamalle sadalle Ukrainan hallituksen ja energiayhtiöiden palveluksessa työskentelevälle henkilölle sekä yksittäisille kansalaisille.
Toisin kuin aiemmin kuvailtu tietojenkalastelukampanja, näiden sähköpostien tavoitteena näytti kuitenkin olevan puhtaasti disinformaatio kylvää epäilystä ukrainalaisten mieleen sen sijaan, että levittäisivät haitallisia linkkejä.
Kampanjan sähköpostit tiedottivat vastaanottajille mahdollisista ruuan, lämmityksen ja lääkkeiden puutteesta, ja yksi ehdotti heidän syömään "kyyhkysrisottoa" ja jopa antoi kuvia elävästä kyyhkysestä ja keitetystä kyyhkysestä, jotka "osoittivat, että asiakirjat on luotu tarkoituksella lukijoiden suututtamiseksi", tutkijat huomauttivat.
"Kaiken kaikkiaan viestit ovat sopusoinnussa Venäjän yleisten propagandateemojen kanssa", he kirjoittivat. "He yrittävät saada ukrainalaiset uskomaan, että heillä ei ole lääkkeitä, ruokaa ja lämmitystä Venäjän ja Ukrainan välisen sodan vuoksi."
Ohjelman toinen vaihe pysops aalto tapahtui joulukuussa ja laajennettiin muihin Euroopan maihin, ja satunnainen joukko satunnaisia kohteita vaihteli Ukrainan hallituksesta italialaiseen kenkävalmistajaan, mutta kirjoitettiin silti ukrainaksi. Tutkijat löysivät kampanjassa kaksi erilaista sähköpostimallia, jotka lähettivät sarkastisia joulutervehdyksiä ukrainalaisille pyrkiessään halventamaan ja lannistamaan heitä.
Haitalliset verkkotunnukset ja puolustustaktiikat
Tutkijat seurasivat pääasiassa verkkotunnuksia pysyäkseen mukana operaatio Texontoon osallistuvien kyberrikollisten kanssa, mikä johti heidät mielenkiintoisille poluille. Yksi oli näennäisesti asiaankuulumaton mutta tyypillinen kanadalainen apteekkien roskapostikampanja, jossa käytettiin hyökkääjien ylläpitämää sähköpostipalvelinta, "laittoman liiketoiminnan luokka [joka] on ollut erittäin suosittu venäläisessä kyberrikollisyhteisössä", he sanoivat.
Muut kampanjaan liittyvät verkkotunnukset heijastivat uudempia ajankohtaisia tapahtumia, kuten Aleksei Navalnyn, tunnetun Venäjän oppositiojohtajan kuolemaa, joka kuoli 16. helmikuuta vankilassa. Näiden verkkotunnusten – mukaan lukien navalny-votes[.]net, navalny-votesmart[.]net ja navalny-voting[.]net – olemassaolo "tarkoittaa, että Operaatio Texonto sisältää luultavasti keihäskalastelua tai venäläisiä toisinajattelijoita vastaan suunnattuja tiedotusoperaatioita", tutkijat kirjoittivat.
ESET sisällytti raporttiinsa joukon kompromissiindikaattoreita (IOC), mukaan lukien verkkotunnukset, sähköpostiosoitteet ja MITER ATT&CK -tekniikat. Tutkijat suosittelevat myös, että organisaatiot mahdollistavat vahvan kaksitasoinen todentaminen - kuten puhelimen todennussovellus tai fyysinen avain - suojaamaan Office 365:een kohdistuvia phishing-hyökkäyksiä vastaan, Faou sanoo.
Mitä tulee puolustautumiseen pahantahtoisten toimijoiden yrityksiltä levittää disinformaatiota verkossa, "paras suoja on käyttää kriittistä ajattelutapaamme ja olla luottamatta mihinkään Internetissä olevaan tietoon", hän lisää.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- :on
- :On
- :ei
- $ YLÖS
- 16
- 2023
- 22
- 7
- a
- pystyy
- Mukaan
- poikki
- toiminta
- toimijoiden
- osoitteet
- Lisää
- vastaan
- toimisto
- jonka tarkoituksena
- tavoitteet
- kohdista
- Myös
- an
- ja
- Toinen
- Kaikki
- sovelluksen
- ilmestyi
- OVAT
- Ryhmä
- AS
- liittyvä
- At
- hyökkäys
- Hyökkäykset
- yrityksiä
- pois
- BE
- koska
- ollut
- Uskoa
- kuuluvat
- PARAS
- Bitti
- Uutiset ja media
- sekä
- liiketoiminta
- mutta
- by
- tuli
- Kampanja
- Kampanjat
- kanadalainen
- tapaus
- Kategoria
- kanavat
- Kansalaiset
- selkeä
- napsauttaa
- Yhteinen
- yhteisö
- Yritykset
- yritys
- kompromissi
- keitetyt
- maahan
- luotu
- Valtakirja
- kriittinen
- Nykyinen
- cyber
- tietoverkkorikollisuuden
- verkkorikollisille
- tumma
- Pimeää luettavaa
- Kuolema
- joulukuu
- Puolustus
- Puolustus
- osoittaa
- osasto
- on kuvattu
- DID
- kuollut
- eri
- löysi
- harhaanjohtavat tiedot
- halveksivat
- selvä
- jakelu
- useat
- do
- asiakirjat
- verkkotunnuksen
- DOMAIN-NIMET
- verkkotunnuksia
- Epäilen
- alas
- huume
- Huumeet
- dubattuna
- Varhainen
- syödä
- vaivaa
- sähköpostit
- Työllisiä
- työntekijää
- mahdollistaa
- loppu
- energia
- kihloissa
- vakoilu
- EU
- Eurooppa
- Eurooppalainen
- Eurooppalaiset maat
- Jopa
- Tapahtumat
- olemassaolo
- laajeni
- väärennös
- paljon
- helmikuu
- harvat
- Etunimi
- keskityttiin
- ruoka
- varten
- löytyi
- alkaen
- tavoite
- menee
- Hallitus
- Terveisiä
- Maa
- HAD
- Olla
- he
- Loma
- Miten
- Kuitenkin
- HTTPS
- sata
- Hybridi
- laiton
- merkittävästi
- in
- mukana
- sisältää
- Mukaan lukien
- indikaattorit
- henkilökohtainen
- vaikutus
- tiedot
- tietoa
- Infrastruktuuri
- sen sijaan
- mielenkiintoinen
- Internet
- tutkimus
- osallistuva
- IT
- italialainen
- SEN
- itse
- tammikuu
- vain
- Pitää
- avain
- käynnistää
- johtaa
- johtaja
- Liidit
- vähiten
- Led
- LINK
- liittyvät
- linkit
- elävät
- log
- Kirjaudu sisään
- tärkein
- pääasiallisesti
- merkittävä
- tehdä
- ilkeä
- Valmistaja
- Saattaa..
- välineet
- viesti
- viestien
- menetelmä
- Microsoft
- mielessä
- ajattelutapa
- väärät tiedot
- kk
- lisää
- eniten
- liikkua
- täytyy
- nimet
- verkko
- seuraava
- merkittävä
- etenkin
- huomattava
- Huomautuksia
- marraskuu
- Huomioi
- tapahtui
- lokakuu
- of
- Office
- on
- ONE
- verkossa
- toimi
- toiminta
- Operations
- vastustus
- or
- tilata
- organisaatioiden
- Muut
- meidän
- yli
- yleinen
- sivulla
- sivut
- polut
- Ihmiset
- vaihe
- Phishing
- tietojenkalastelukampanja
- puhelin
- Valokuvat
- fyysinen
- suunnitteilla
- Platon
- Platonin tietotieto
- PlatonData
- juoni
- Suosittu
- Kirje
- mahdollinen
- aiemmin
- vankila
- todennäköisesti
- propaganda
- suojaus
- tarjoamalla
- puhtaasti
- satunnainen
- alue
- alainen
- pikemminkin
- lukijoita
- Lukeminen
- sai
- äskettäinen
- äskettäin
- vastaanottajat
- suositella
- heijastunut
- liittyvä
- poistettu
- raportti
- tutkija
- Tutkijat
- Revealed
- Venäjä
- Venäjän-Ukrainan sota
- Venäjän kieli
- s
- Said
- sama
- sanoo
- Toinen
- näennäisesti
- lähettää
- lähetetty
- erillinen
- palvelin
- useat
- pulaa
- Näytä
- merkki
- samankaltainen
- So
- niin kaukana
- jonkin verran
- Joku
- kylvää
- spam
- erityinen
- Sponsored
- levitä
- leviäminen
- Yhä
- vahva
- toimitettu
- niin
- ehdottaa
- taktiikka
- Kohde
- kohdennettu
- kohdistaminen
- tavoitteet
- tekniikat
- Technologies
- Telegram
- malleja
- kuin
- että
- -
- heidän
- Niitä
- Teemat
- sitten
- Siellä.
- Nämä
- ne
- ne
- vaikka?
- uhkaus
- uhka toimijat
- että
- Aiheet
- Luottamus
- yrittää
- yrittää
- twist
- kaksi
- tyypillinen
- Ukraina
- ukrainalainen
- ukrainalaiset
- URL
- käyttää
- käytetty
- Käyttäjät
- käyttämällä
- versio
- hyvin
- kautta
- sota
- varoitti
- oli
- Aalto
- aallot
- we
- verkko
- sivustot
- HYVIN
- tunnettu
- olivat
- eivät olleet
- Mitä
- Mikä on
- kun
- joka
- vaikka
- KUKA
- tulee
- voittaa
- with
- sisällä
- Voitetut
- työskentely
- kirjallinen
- kirjoitti
- vielä
- zephyrnet