Les acteurs de la menace liés à la Russie ont utilisé à la fois des PysOps et harponnage pour cibler les utilisateurs sur plusieurs mois fin 2023 dans le cadre d'une campagne en plusieurs vagues visant à diffuser de la désinformation en Ukraine et à voler les informations d'identification Microsoft 365 dans toute l'Europe.
L’opération – baptisée Opération Texonto – s’est déroulée en deux vagues distinctes, la première en octobre-novembre 2023 et la seconde en novembre-décembre 2023, ont découvert les chercheurs d’ESET. La campagne a utilisé un large éventail de tactiques pysop et de spams comme principale méthode de distribution, ont-ils révélé. dans un billet de blog publié le 22 février.
Chronologiquement, la première campagne était une attaque de spear phishing ciblant une entreprise de défense ukrainienne en octobre 2023 et une agence de l'UE en novembre 2023. La seconde était une campagne de désinformation axée principalement sur des cibles ukrainiennes en utilisant des sujets liés aux interruptions de chauffage, aux pénuries de médicaments et les pénuries alimentaires sont « des thèmes typiques de la campagne de propagande russe », ont déclaré les chercheurs.
Bien qu’ils aient des objectifs différents, tous deux utilisaient une infrastructure réseau similaire, c’est ainsi qu’ESET a relié les deux. Puis, dans un petit rebondissement, une URL associée à l'opération Texonto devait envoyer du spam typique aux pharmacies canadiennes dans le cadre d'une campagne distincte qui a eu lieu en janvier.
Guerre hybride Russie-Ukraine
Des campagnes de menace ont été utilisées par des acteurs menaçants alignés sur la Russie, tels que Ver de sable ainsi que les Gamarédon in une cyberguerre avec l'Ukraine c'est exécuter simultanément avec l'opération au sol de deux ans, selon ESET. Ver des sables notamment essuie-glaces usagés à perturber l'infrastructure informatique ukrainienne au début de la guerre, tandis que Gamaredon a récemment intensifié ses opérations de cyberespionnage.
« L’opération Texonto montre une autre utilisation des technologies pour tenter d’influencer la guerre », écrivent les chercheurs dans leur article, sans toutefois attribuer l’opération à un acteur spécifique. "Nous avons trouvé quelques fausses pages de connexion Microsoft typiques, mais plus important encore, il y a eu deux vagues d'espions par courrier électronique, probablement pour tenter d'influencer les citoyens ukrainiens et leur faire croire que la Russie va gagner."
L'opération Texonto démontre également d'autres écarts notables par rapport aux activités malveillantes typiques, note Matthieu Faou, le chercheur d'ESET qui a mené l'enquête, dans un e-mail adressé à Dark Reading.
« Ce qui est intéressant dans le cas de l’Opération Texonto, c’est que le même acteur menaçant est à la fois engagé dans des campagnes de désinformation et de spear phishing, alors que la plupart des acteurs menaçants font l’un ou l’autre », observe-t-il. "En tant que tel, il est clair qu'il s'agit d'une opération clandestine planifiée et pas seulement de quelqu'un qui publie des informations erronées sur Internet."
La campagne montre également que l'on s'éloigne de l'utilisation de canaux courants tels que Telegram ou de faux sites Web pour transmettre des messages malveillants, ont noté les chercheurs.
Deux vagues distinctes
Le premier signe de l'opération est survenu en octobre lorsque les employés travaillant dans une grande entreprise de défense ukrainienne ont reçu un email d'hameçonnage prétendument du service informatique. Le message avertissait que leur boîte aux lettres pourrait être supprimée et que pour se connecter, ils devaient cliquer sur un lien vers une version Web de la boîte aux lettres et se connecter à l'aide de leurs informations d'identification.
Le lien mène plutôt à une page de phishing, dont les chercheurs d'ESET ont supposé à partir d'un autre domaine appartenant à l'opération soumise à VirusTotal qu'il s'agissait d'une fausse page de connexion Microsoft destinée à voler les informations d'identification Microsoft 365, bien qu'ils n'aient pas pu récupérer la page de phishing elle-même.
La vague suivante de la campagne fut la première opération pysops, qui envoya désinformation des courriels avec une pièce jointe au format PDF à au moins quelques centaines de personnes travaillant pour le gouvernement ukrainien et les sociétés énergétiques, ainsi qu'à des citoyens individuels.
Cependant, contrairement à la campagne de phishing décrite précédemment, l’objectif de ces courriels semblait être une pure désinformation visant à semer le doute dans l’esprit des Ukrainiens, plutôt que de propager des liens malveillants.
Les courriels de la campagne informaient les destinataires d'éventuelles pénuries de nourriture, de chauffage et de médicaments, l'un d'entre eux allant jusqu'à suggérer qu'ils mangeaient du « risotto au pigeon » et fournissant même des photos d'un pigeon vivant et d'un pigeon cuit qui « montrent que ces documents ont été créés exprès. afin d’agacer les lecteurs », ont noté les chercheurs.
« Dans l’ensemble, les messages s’alignent sur les thèmes courants de la propagande russe », ont-ils écrit. « Ils essaient de faire croire aux Ukrainiens qu’ils n’auront plus de médicaments, de nourriture et de chauffage à cause de la guerre entre la Russie et l’Ukraine. »
La deuxième phase de la vague de pysops s'est produit en décembre et s'est étendu à d'autres pays européens, avec un éventail aléatoire de quelques centaines de cibles allant du gouvernement ukrainien à un fabricant de chaussures italien, mais toujours rédigé en ukrainien. Les chercheurs ont découvert deux modèles d'e-mails différents dans la campagne qui envoyaient des vœux sarcastiques aux Ukrainiens pour les fêtes, dans le but de les dénigrer et de les décourager.
Domaines malveillants et tactiques de défense
Les chercheurs ont principalement suivi les domaines pour suivre les cybercriminels impliqués dans l'opération Texonto, ce qui les a conduits sur des voies intéressantes. L’une concernait une campagne de spam pharmaceutique apparemment sans rapport mais typique au Canada qui utilisait un serveur de courrier électronique exploité par les attaquants, une « catégorie d’activités illégales [qui] a été très populaire au sein de la communauté de la cybercriminalité russe », ont-ils déclaré.
D'autres noms de domaine associés à la campagne reflétaient des événements d'actualité plus récents tels que la mort d'Alexeï Navalny, le célèbre leader de l'opposition russe, décédé le 16 février en prison. L’existence de ces domaines – notamment navalny-votes[.]net, navalny-votesmart[.]net et navalny-voting[.]net – « signifie que l’opération Texonto comprend probablement des opérations de spear phishing ou d’information ciblant les dissidents russes ». ont écrit les chercheurs.
ESET a inclus dans son rapport une série d'indicateurs de compromission (IOC), notamment les domaines, les adresses e-mail et les techniques MITRE ATT&CK. Les chercheurs recommandent également que les organisations mettent en place de solides authentification à deux facteurs – comme une application d'authentification téléphonique ou une clé physique – pour se défendre contre les attaques de spear phishing ciblant Office 365, explique Faou.
Concernant la défense contre les tentatives d'acteurs malveillants de diffuser de la désinformation en ligne, « la meilleure protection est d'utiliser notre esprit critique et de ne faire confiance à aucune information sur Internet », ajoute-t-il.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- :possède
- :est
- :ne pas
- $UP
- 16
- 2023
- 22
- 7
- a
- Capable
- Selon
- à travers
- activité
- acteurs
- adresses
- Ajoute
- à opposer à
- agence
- Destinée
- vise
- aligner
- aussi
- an
- ainsi que les
- Une autre
- tous
- appli
- paru
- SONT
- tableau
- AS
- associé
- At
- attaquer
- Attaques
- Tentatives
- et
- BE
- car
- était
- CROYONS
- qui appartiennent
- LES MEILLEURS
- Bit
- Blog
- tous les deux
- la performance des entreprises
- mais
- by
- venu
- Campagne
- Campagnes
- canadienne
- maisons
- Catégories
- Voies
- Citoyens
- clair
- cliquez
- Commun
- Communautés
- Sociétés
- Société
- compromis
- cuit
- d'exportation
- créée
- Lettres de créance
- critique
- Courant
- cyber
- la cybercriminalité
- les cybercriminels
- Foncé
- Lecture sombre
- Décès
- Décembre
- Défendre
- Défense
- démontre
- Département
- décrit
- DID
- mort
- différent
- découvert
- désinformation
- dénigrer
- distinct
- distribution
- plusieurs
- do
- INSTITUTIONNELS
- domaine
- NOMS DE DOMAINE
- domaines
- doute
- down
- drogue
- Médicaments
- doublé
- "Early Bird"
- manger
- effort
- emails
- employés
- employés
- permettre
- fin
- énergie
- engagé
- espionnage
- EU
- Europe
- du
- Les pays européens
- Pourtant, la
- événements
- existence
- étendu
- faux
- loin
- Février
- few
- Prénom
- concentré
- nourriture
- Pour
- trouvé
- de
- objectif
- aller
- Gouvernement
- Salutations
- Sol
- ait eu
- Vous avez
- he
- Idées
- Comment
- Cependant
- HTTPS
- cent
- Hybride
- Illégal
- surtout
- in
- inclus
- inclut
- Y compris
- Indicateurs
- individuel
- influencer
- d'information
- Actualités
- Infrastructure
- plutôt ;
- intéressant
- Internet
- enquête
- impliqué
- IT
- italien
- SES
- lui-même
- Janvier
- juste
- XNUMX éléments à
- ACTIVITES
- lancer
- conduire
- leader
- Conduit
- au
- LED
- LINK
- lié
- Gauche
- vie
- enregistrer
- vous connecter
- Entrée
- principalement
- majeur
- a prendre une
- malveillant
- Fabricants
- Mai..
- veux dire
- message
- messages
- méthode
- Microsoft
- l'esprit
- Mindset
- Désinformation
- mois
- PLUS
- (en fait, presque toutes)
- Bougez
- must
- noms
- réseau et
- next
- notable
- notamment
- noté
- Notes
- Novembre
- Observe
- a eu lieu
- octobre
- of
- Bureaux
- on
- ONE
- en ligne
- réalisés
- opération
- Opérations
- opposition
- or
- de commander
- organisations
- Autre
- nos
- plus de
- global
- page
- pages
- chemins
- Personnes
- phase
- phishing
- campagne de phishing
- Téléphone
- Photos
- Physique
- prévu
- Platon
- Intelligence des données Platon
- PlatonDonnées
- parcelle
- Populaire
- Post
- défaillances
- précédemment
- prison
- Probablement
- la propagande
- protection
- aportando
- purement
- aléatoire
- gamme
- allant
- plutôt
- lecteurs
- en cours
- reçu
- récent
- récemment
- destinataires
- recommander
- reflété
- en relation
- Supprimé
- rapport
- chercheur
- chercheurs
- Révélé
- Russie
- Guerre Russie-Ukraine
- russe
- s
- Saïd
- même
- dit
- Deuxièmement
- apparemment
- envoyer
- envoyé
- séparé
- serveur
- plusieurs
- les pénuries
- Spectacles
- signer
- similaires
- So
- jusqu'à présent
- quelques
- Quelqu'un
- truie
- le spam
- groupe de neurones
- Sponsorisé
- propagation
- Diffusion
- Encore
- STRONG
- soumis
- tel
- suggérer
- tactique
- Target
- des campagnes marketing ciblées,
- ciblage
- objectifs
- techniques
- Les technologies
- Telegram
- modèles
- que
- qui
- Les
- leur
- Les
- thèmes
- puis
- Là.
- Ces
- l'ont
- ceux
- bien que?
- menace
- acteurs de la menace
- à
- Les sujets
- La confiance
- Essai
- essayer
- torsion
- deux
- débutante
- Ukraine
- Ukrainien
- Ukrainiens
- URL
- utilisé
- d'utiliser
- utilisateurs
- en utilisant
- version
- très
- via
- guerre
- averti
- était
- Vague
- vagues
- we
- web
- sites Internet
- WELL
- bien connu
- ont été
- rester dehors
- Quoi
- Qu’est ce qu'
- quand
- qui
- tout en
- WHO
- sera
- gagner
- comprenant
- dans les
- A gagné
- de travail
- code écrit
- écrit
- encore
- zéphyrnet