Kelompok yang didukung Rusia di balik serangan SolarWinds yang terkenal ini menargetkan “sejumlah besar” diplomat asing yang bekerja di kedutaan besar di Ukraina dengan iming-iming yang sedikit lebih pribadi dibandingkan dengan cara politik tradisional yang biasanya digunakan untuk membujuk mereka agar mengeklik tautan jahat.
Para peneliti dari Unit 42 Palo Alto Networks mengamati kelompok tersebut – yang mereka lacak Ursa Berjubah namun lebih dikenal dengan nama Nobelium/APT29 — sebuah kendaraan untuk bepergian.
Iming-iming awal dalam kampanye tersebut adalah dengan menggunakan brosur resmi penjualan sedan BMW bekas di Kyiv yang disebarkan ke berbagai kedutaan oleh seorang diplomat di Kementerian Luar Negeri Polandia. Meskipun tampaknya tidak ada salahnya, penjualan mobil yang dapat diandalkan dari diplomat terpercaya – terutama di wilayah yang dilanda perang seperti Ukraina – pasti dapat menarik perhatian orang-orang baru yang datang ke tempat kejadian, kata para peneliti.
Hal ini dimanfaatkan oleh Cloaked Ursa sebagai sebuah peluang, dengan menggunakan kembali brosur tersebut untuk membuat brosurnya sendiri yang tidak sah, yang kemudian dikirim oleh kelompok tersebut ke beberapa misi diplomatik dua minggu kemudian sebagai umpan dalam kampanye malware mereka. Kelompok tersebut menyertakan tautan jahat dalam pesan tersebut, mengatakan bahwa target dapat menemukan lebih banyak foto mobil di sana. Korban akan menemukan lebih dari sekadar foto jika mereka mengeklik tautannya, yang akan mengeksekusi malware secara diam-diam di latar belakang sementara gambar yang dipilih akan ditampilkan di layar korban.
Muatan kampanye ini adalah malware berbasis JavaScript yang memberi penyerang pintu belakang yang siap melakukan spionase ke dalam sistem korban, dan kemampuan untuk memuat kode berbahaya lebih lanjut melalui koneksi perintah-dan-kontrol (C2).
Ancaman persisten tingkat lanjut (APT) menunjukkan perencanaan yang matang untuk membuat daftar targetnya, menggunakan alamat email kedutaan yang tersedia untuk umum untuk sekitar 80% korban yang ditargetkan, dan alamat email yang tidak dipublikasikan yang tidak ditemukan di permukaan Web untuk 20% lainnya. Hal ini kemungkinan “untuk memaksimalkan akses mereka ke jaringan yang diinginkan,” menurut Unit 42.
Para peneliti mengamati Ursa Berjubah melakukan kampanye melawan 22 dari 80 misi asing di Ukraina, namun jumlah target sebenarnya kemungkinan lebih tinggi, kata mereka.
“Hal ini sangat mengejutkan dalam cakupan operasi APT yang umumnya memiliki cakupan sempit dan rahasia,” menurut Unit 42.
Perubahan Taktik Cyber Malware
Ini adalah poros strategis dari penggunaan materi pelajaran yang berkaitan dengan pekerjaan mereka sebagai umpan, ungkap para peneliti posting blog diterbitkan minggu ini
“Umpan yang tidak biasa ini dirancang untuk membujuk penerimanya agar membuka keterikatan berdasarkan kebutuhan dan keinginan mereka sendiri, bukan sebagai bagian dari tugas rutin mereka,” tulis para peneliti.
Perubahan dalam taktik memikat ini bisa menjadi langkah untuk meningkatkan faktor keberhasilan kampanye tidak hanya untuk mengkompromikan target awal tetapi juga target lain dalam organisasi yang sama, sehingga memperluas jangkauannya, saran para peneliti.
“Umpan itu sendiri dapat diterapkan secara luas di seluruh komunitas diplomatik, dan dengan demikian dapat dikirim dan diteruskan ke lebih banyak sasaran,” tulis mereka dalam postingan tersebut. “Hal ini juga lebih mungkin untuk diteruskan kepada orang lain di dalam suatu organisasi, serta dalam komunitas diplomatik.”
Cloaked Ursa/Nobelium/APT29, adalah kelompok yang disponsori negara yang terkait dengan Badan Intelijen Luar Negeri (SVR) Rusia, mungkin paling dikenal karena Serangan SolarWinds, yang dimulai dengan penemuan pintu belakang pada bulan Desember 2020 dan menyebar ke sekitar 18,000 organisasi melalui pembaruan perangkat lunak yang terinfeksi — dan masih berdampak pada seluruh rantai pasokan perangkat lunak.
Grup ini tetap aktif secara konsisten sejak saat itu, melakukan serangkaian serangan serangan yang sejalan dengan sikap geopolitik Rusia secara keseluruhan yang menentangnya berbagai kementerian luar negeri dan diplomat, dan pemerintah AS. Persamaan yang umum untuk semua kejadian adalah a kecanggihan dalam taktik dan pengembangan malware khusus.
Unit 42 mencatat kesamaan dengan kampanye lain yang diketahui dari Cloaked Ursa, termasuk target serangan, dan kode yang tumpang tindih dengan malware lain yang diketahui dari grup tersebut.
Mengurangi Serangan Siber APT terhadap Masyarakat Sipil
Para peneliti memberikan beberapa saran bagi orang-orang yang menjalankan misi diplomatik agar tidak menjadi korban serangan canggih dan cerdik oleh APT seperti Cloaked Ursa. Salah satunya adalah para administrator melatih para diplomat yang baru ditugaskan mengenai ancaman keamanan siber di wilayah tersebut sebelum mereka tiba.
Pegawai pemerintah atau perusahaan pada umumnya harus selalu berhati-hati terhadap pengunduhan, bahkan dari situs yang tampaknya tidak berbahaya atau sah, serta melakukan tindakan pencegahan ekstra untuk mengamati pengalihan URL saat menggunakan layanan pemendek URL, karena hal ini dapat menjadi ciri serangan phishing.
Masyarakat juga harus memperhatikan lampiran email untuk menghindari menjadi korban phishing, kata para peneliti. Mereka harus memverifikasi jenis ekstensi file untuk memastikan bahwa file yang mereka buka adalah file yang mereka inginkan, menghindari file dengan ekstensi yang tidak cocok atau berupaya mengaburkan sifat file.
Terakhir, para peneliti menyarankan agar pegawai diplomatik menonaktifkan JavaScript sebagai aturan, yang akan membuat malware apa pun yang berbasis pada bahasa pemrograman tidak dapat dijalankan.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats
- :memiliki
- :adalah
- :bukan
- 000
- 2020
- 22
- 7
- 80
- a
- kemampuan
- Sanggup
- Tentang Kami
- mengakses
- Menurut
- di seluruh
- aktif
- sebenarnya
- alamat
- administrator
- maju
- nasihat
- Urusan
- terhadap
- meluruskan
- juga
- selalu
- an
- dan
- Apa pun
- Muncul
- berlaku
- APT
- ADALAH
- DAERAH
- sekitar
- kedatangan
- AS
- ditugaskan
- terkait
- At
- menyerang
- Serangan
- perhatian
- tersedia
- menghindari
- menghindari
- pintu belakang
- latar belakang
- umpan
- berdasarkan
- BE
- di belakang
- makhluk
- TERBAIK
- Lebih baik
- Bit
- Blog
- BMW
- kedua
- secara luas
- tapi
- by
- Kampanye
- Kampanye
- CAN
- mobil
- berhati-hati
- rantai
- perubahan
- Klik
- Penyelesaian
- kode
- Umum
- masyarakat
- kompromi
- koneksi
- Timeline
- bisa
- membuat
- adat
- maya
- cyberattacks
- Keamanan cyber
- Desember
- pastinya
- dirancang
- diinginkan
- diplomat
- ditemukan
- menampilkan
- don
- download
- seri
- karyawan
- memastikan
- terutama
- Bahkan
- menjalankan
- Laksanakan
- memperpanjang
- perpanjangan
- ekstensi
- tambahan
- faktor
- hampir
- Jatuh
- File
- File
- Menemukan
- Untuk
- asing
- ditemukan
- dari
- lebih lanjut
- Umum
- umumnya
- menghasilkan
- geopolitik
- mendapatkan
- memberikan
- Pemerintah
- lebih besar
- Kelompok
- memiliki
- lebih tinggi
- HTTPS
- if
- gambar
- Dampak
- in
- termasuk
- Termasuk
- Meningkatkan
- hina
- mulanya
- tak bersalah
- dalam
- sebagai gantinya
- Intelijen
- ke
- IT
- NYA
- JavaScript
- Jobs
- jpg
- hanya
- dikenal
- bahasa
- kemudian
- sah
- 'like'
- Mungkin
- LINK
- link
- Daftar
- memuat
- malware
- Cocok
- hal
- Maksimalkan
- pesan
- kementerian
- misi
- lebih
- pindah
- beberapa
- Alam
- kebutuhan
- jaringan
- New
- baru saja
- biasanya
- terkenal
- jumlah
- mengamati
- of
- ditawarkan
- on
- ONE
- hanya
- Buka
- pembukaan
- Operasi
- Kesempatan
- or
- organisasi
- organisasi
- Lainnya
- Lainnya
- secara keseluruhan
- sendiri
- Palo Alto
- bagian
- Membayar
- Konsultan Ahli
- mungkin
- pribadi
- Phishing
- serangan phishing
- Foto
- Poros
- plato
- Kecerdasan Data Plato
- Data Plato
- semir
- politik
- Pos
- Sebelumnya
- Pemrograman
- di depan umum
- diterbitkan
- mencapai
- wilayah
- terkait
- dapat diandalkan
- tetap
- peneliti
- Terungkap
- Aturan
- Rusia
- s
- Tersebut
- penjualan
- sama
- mengatakan
- adegan
- cakupan
- Layar
- tampaknya
- tampaknya
- terpilih
- mengirim
- Seri
- layanan
- Layanan
- harus
- menunjukkan
- kesamaan
- sejak
- Situs
- Perangkat lunak
- SuryaAngin
- beberapa
- sesuatu
- mutakhir
- penyebaran
- mulai
- Masih
- Strategis
- subyek
- sukses
- menyediakan
- supply chain
- Permukaan
- sistem
- taktik
- Mengambil
- target
- ditargetkan
- penargetan
- target
- dari
- bahwa
- Grafik
- mereka
- Mereka
- diri
- kemudian
- Sana.
- Ini
- mereka
- ini
- minggu ini
- ancaman
- ancaman
- Melalui
- untuk
- jalur
- tradisional
- Pelatihan VE
- Terpercaya
- dua
- jenis
- Ukraina
- tidak mampu
- inkonvensional
- satuan
- Pembaruan
- URL
- us
- pemerintah kita
- menggunakan
- bekas
- menggunakan
- berbagai
- kendaraan
- memeriksa
- melalui
- Korban
- korban
- ingin
- ingin
- adalah
- jaringan
- minggu
- minggu
- BAIK
- Apa
- ketika
- yang
- sementara
- dengan
- dalam
- kerja
- akan
- menulis
- zephyrnet.dll
