Les attaquants de SolarWinds font balancer des BMW pour espionner les diplomates

Le groupe soutenu par la Russie à l'origine de la tristement célèbre attaque SolarWinds cible « un nombre étonnant » de diplomates étrangers travaillant dans des ambassades en Ukraine avec des leurres un peu plus personnels que les tactiques politiques traditionnelles normalement utilisées pour les inciter à cliquer sur des liens malveillants.

Des chercheurs de l'unité 42 de Palo Alto Networks ont observé le groupe, qu'ils suivent comme Ourse masquée mais qui est mieux connu sous le nom de Nobelium/APT29 – un véhicule dans lequel se déplacer.

Le leurre initial de la campagne semblait utiliser un dépliant légitime pour la vente d'une berline BMW d'occasion à Kiev, distribué à diverses ambassades par un diplomate du ministère polonais des Affaires étrangères. Même si cela semble assez innocent, la vente d’une voiture fiable à un diplomate de confiance – en particulier dans une région déchirée par la guerre comme l’Ukraine – pourrait certainement attirer l’attention d’un nouvel arrivant sur les lieux, ont noté les chercheurs.

C'est quelque chose que Cloaked Ursa a saisi comme une opportunité, en réutilisant le dépliant pour créer son propre dépliant illégitime, que le groupe a envoyé à plusieurs missions diplomatiques deux semaines plus tard comme appât dans sa campagne de malware. Le groupe a inclus dans le message un lien malveillant, affirmant que les cibles peuvent y trouver davantage de photos de la voiture. Les victimes trouvent bien plus que de simples photos si elles cliquent sur le lien, qui exécute silencieusement un logiciel malveillant en arrière-plan pendant que l’image sélectionnée s’affiche sur l’écran de la victime.

La charge utile de la campagne est un malware basé sur JavaScript qui offre aux attaquants une porte dérobée prête à l'espionnage dans le système de la victime et la possibilité de charger davantage de code malveillant via une connexion de commande et de contrôle (C2).

La menace persistante avancée (APT) a fait preuve de préméditation pour générer sa liste de cibles, en utilisant des adresses e-mail d'ambassade accessibles au public pour environ 80 % des victimes ciblées, et des adresses e-mail non publiées introuvables sur le Web pour les 20 % restants. Cela était susceptible de « maximiser leur accès aux réseaux souhaités », selon l’Unité 42.

Les chercheurs ont observé Cloaked Ursa mener la campagne contre 22 des 80 missions étrangères en Ukraine, mais le nombre réel de cibles est probablement plus élevé, ont-ils déclaré.

« C’est d’une ampleur stupéfiante pour ce qui est généralement des opérations APT clandestines et à portée étroite », selon l’Unité 42.

Un changement dans les cyber-tactiques des logiciels malveillants

Il s’agit d’un tournant stratégique par rapport à l’utilisation de sujets liés à leur travail comme appât, ont révélé des chercheurs dans un blog publié cette semaine.

"Ces leurres non conventionnels sont conçus pour inciter le destinataire à ouvrir une pièce jointe en fonction de ses propres besoins et désirs plutôt que dans le cadre de ses tâches de routine", ont écrit les chercheurs.

Ce changement de tactique de leurre pourrait permettre d'augmenter le facteur de réussite de la campagne non seulement pour compromettre la cible initiale, mais également d'autres au sein de la même organisation, étendant ainsi sa portée, ont suggéré les chercheurs.

« Les leurres eux-mêmes sont largement applicables au sein de la communauté diplomatique et peuvent donc être envoyés et transmis à un plus grand nombre de cibles », ont-ils écrit dans le message. "Ils sont également plus susceptibles d'être transmis à d'autres personnes au sein d'une organisation, ainsi qu'au sein de la communauté diplomatique."

Cloaked Ursa/Nobelium/APT29, est un groupe parrainé par l'État et associé au Service de renseignement extérieur russe (SVR), est peut-être mieux connu pour son Attaque SolarWinds, qui a commencé par une porte dérobée découverte en décembre 2020 qui s'est propagée à quelque 18,000 XNUMX organisations via des mises à jour logicielles infectées – et qui a toujours un impact sur l'ensemble de la chaîne d'approvisionnement logicielle.

Le groupe est resté depuis lors constamment actif, organisant une série de attaques qui correspondent à la position géopolitique globale de la Russie contre divers ministères des Affaires étrangères et diplomates, et le gouvernement américain. Un dénominateur commun à tous les incidents est un sophistication des tactiques et du développement de logiciels malveillants personnalisés.

L'unité 42 a noté des similitudes avec d'autres campagnes connues de Cloaked Ursa, y compris les cibles de l'attaque, et un chevauchement de code avec d'autres logiciels malveillants connus du groupe.

Atténuer les cyberattaques APT contre la société civile

Les chercheurs ont donné quelques conseils aux personnes en mission diplomatique pour éviter de devenir la proie d'attaques sophistiquées et intelligentes de la part d'APT comme Cloaked Ursa. La première est que les administrateurs forment les diplomates nouvellement affectés aux menaces de cybersécurité pour la région avant leur arrivée.

Les employés du gouvernement ou des entreprises en général doivent toujours faire attention aux téléchargements, même à partir de sites apparemment inoffensifs ou légitimes, et prendre des précautions supplémentaires pour observer la redirection d'URL lorsqu'ils utilisent des services de raccourcissement d'URL, car cela peut être le signe d'une attaque de phishing.

Les gens devraient également prêter une attention particulière aux pièces jointes des e-mails pour éviter d'être victime de phishing, ont indiqué les chercheurs. Ils doivent vérifier les types d’extension de fichier pour s’assurer que le fichier qu’ils ouvrent est celui qu’ils souhaitent, en évitant les fichiers dont les extensions ne correspondent pas ou qui tentent de masquer la nature du fichier.

Enfin, les chercheurs ont suggéré que les employés diplomatiques désactivent JavaScript en règle générale, ce qui empêcherait l'exécution de tout logiciel malveillant basé sur le langage de programmation.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats