Venäläiset SolarWinds-syylliset käynnistävät uuden vakoilutuloksen kyberhyökkäyksiä

Osana jatkuvaa hyökkäystään Ukrainaan Venäjän tiedustelupalvelu on jälleen värvännyt Nobelium/APT29-hakkeriryhmän palveluksia, tällä kertaa vakoilemaan Naton jäsenmaiden ulkoministeriöitä ja diplomaatteja sekä muita Euroopan unionin ja Afrikan kohteita. .

Ajoitus sopii myös yhteen Kanadan infrastruktuuriin kohdistuneiden hyökkäyksiä vastaan, joiden uskotaan myös liittyvän Venäjään.

Puolan armeijan vastatiedustelupalvelu ja CERT-ryhmä Puolassa antoivat 13. huhtikuuta hälytyksen sekä kompromissin osoittimia, jotka varoittivat vakoilukampanjan mahdollisia kohteita uhasta. nobelium, kuten Microsoft on nimennyt ryhmän, myös nimeltään Mandiantin APT29, ei ole uusi kansallisvaltion vakoilupelissä, ryhmä oli surullisen kuuluisan SolarWinds-toimitusketjuhyökkäys lähes kolme vuotta sitten.

Nyt APT29 on palannut täysin uusilla haittaohjelmatyökaluilla ja raportoitu marssikäskyistä soluttautua Ukrainaa tukevien maiden diplomaattisiin joukkoihin, Puolan armeija ja CERT-hälytys selittivät.

APT29 on palannut uusien tilausten kera

Kaikissa tapauksissa kehittynyt jatkuva uhka (APT) aloittaa hyökkäyksensä hyvin suunnitellulla keihäs-phishing-sähköpostilla Puolan hälytyksen mukaan.

"Euroopan maiden suurlähetystöinä esiintyviä sähköposteja lähetettiin valituille diplomaattiedustustojen henkilökunnalle", viranomaiset selittivät. "Kirjeenvaihto sisälsi kutsun kokoukseen tai työstämään yhdessä asiakirjoja."

Viesti ohjaisi sitten vastaanottajan napsauttamaan linkkiä tai lataamaan PDF-tiedoston päästäkseen suurlähettilään kalenteriin tai saamaan kokouksen tiedot – molemmat lähettävät kohteet haitalliseen sivustoon, joka on ladattu uhkaryhmän "allekirjoitusskriptillä", joka raportissa tunnistetaan "Envyscout."

"t hyödyntää HTML-salakuljetustekniikkaa – jossa sivulle sijoitettu haitallinen tiedosto puretaan JavaScriptin avulla, kun sivu avataan ja ladataan sitten uhrin laitteelle”, Puolan viranomaiset lisäsivät. "Tämä vaikeuttaa haitallisen tiedoston havaitsemista palvelinpuolella, johon se on tallennettu."

Haitallinen sivusto lähettää kohteille myös viestin, jossa vakuutetaan, että he ovat ladanneet oikean tiedoston, varoituksesta kerrottiin.

"Spear-phishing-hyökkäykset onnistuvat, kun viestit ovat hyvin kirjoitettuja, käyttävät henkilökohtaisia ​​​​tietoja osoittamaan tuntemuksensa kohteeseen ja näyttävät olevan peräisin laillisesta lähteestä", Patrick Harr, SlashNextin toimitusjohtaja, kertoo Dark Readingille kampanjasta. "Tämä vakoilukampanja täyttää kaikki menestyksen kriteerit."

yksi phishing-sähköpostiEsimerkiksi esiintyi Puolan suurlähetystönä, ja mielenkiintoista kyllä, koko tarkastellun kampanjan aikana Envyscout-työkalua muokattiin kolme kertaa hämärtymisparannuksilla, Puolan viranomaiset huomauttivat.

Kun ryhmä on vaarantunut, se käyttää modifioituja versioita Snowyamber-latausohjelmasta Halfrig, joka toimii Kobolttilakko Sulautettuna koodina ja Quarterrig, joka jakaa koodin Halfrigin kanssa, Puolan hälytys sanoi.

"Näemme näiden hyökkäysten lisääntyvän, kun huono näyttelijä käyttää useita vaiheita kampanjassa mukauttaakseen ja parantaakseen menestystä", Harr lisää. "He käyttävät automaatio- ja koneoppimistekniikoita tunnistaakseen, mikä välttelee havaitsemista, ja muokkaamaan myöhempiä hyökkäyksiä parantaakseen menestystä."
Puolan kyberturvallisuusviranomaisten mukaan hallitusten, diplomaattien, kansainvälisten järjestöjen ja kansalaisjärjestöjen tulee olla valppaana tämän ja muiden Venäjän vakoilutoimien suhteen.

"Sotilasvastatiedustelupalvelu ja CERT.PL suosittelevat vahvasti, että kaikki tahot, jotka saattavat olla toimijan kiinnostusalueella, toteuttavat kokoonpanomuutoksia häiritäkseen kuvatussa kampanjassa käytettyä toimitusmekanismia", viranomaiset sanoivat.

Venäjään liittyvät hyökkäykset Kanadan infrastruktuuria vastaan

Puolan kyberturvallisuusviranomaisten varoitusten lisäksi Kanadan pääministeri Justin Trudeau antoi viime viikolla julkisia lausuntoja viimeaikaisesta Venäjään liittyvät kyberhyökkäykset suunnattu Kanadan infrastruktuuriin, mukaan lukien palvelunestohyökkäykset Hydrolla-Québec, sähkölaitos, Trudeaun toimiston verkkosivusto, satama Quebecja Laurentian Pankki. Trudeau sanoi, että kyberhyökkäykset liittyvät Kanadan tukeen Ukrainalle.

"Pari palvelunestohyökkäystä hallituksen verkkosivustoille, jotka tuhoavat ne muutamaksi tunniksi, eivät saa meitä ajattelemaan uudelleen yksiselitteistä asennettamme tehdä mitä tahansa niin kauan kuin se vaatii Ukrainan tukemiseksi”, Trudeau sanoi. , raporttien mukaan.

Kanadan kyberturvallisuuskeskuksen pomo Sami Khoury sanoi viime viikolla pidetyssä lehdistötilaisuudessa, että vaikka Kanadan infrastruktuurille ei ole aiheutunut vahinkoa, "uhka on todellinen." "Jos käytät kriittisiä järjestelmiä, jotka toimivat yhteisöissämme, tarjoa Internetiä pääsy kanadalaisille, tarjota terveydenhuoltoa tai yleensä tarjota palveluita, joita kanadalaiset eivät voi tulla ilman, sinun on suojattava järjestelmäsi”, Khoury sanoi. "Valvo verkkojasi. Käytä lievennyksiä."

Venäjän kyberrikollisuus raivoaa

Venäjän hyökkäyksen Ukrainaan jatkuessa toista vuottaan, Mike Parkin Vulcan Cyberin kanssa sanoo, että viimeaikaisten kampanjoiden tuskin pitäisi olla yllätys.

"Kyberturvallisuusyhteisö on seurannut Ukrainan konfliktin seurauksia ja oheisvahinkoja sen alkamisesta lähtien, ja olemme tienneet, että venäläiset ja Venäjä-myönteiset uhkatoimijat olivat aktiivisia länsimaisia ​​kohteita vastaan", Parkin sanoo. "Ottaen huomioon kyberrikollisen toiminnan, jonka kanssa olimme jo tekemisissä, [nämä ovat] vain muutamia uusia työkaluja ja uusia kohteita – ja muistutus varmistaa, että puolustuksemme ovat ajan tasalla ja oikein konfiguroituja.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks