Gli autori di minacce legate alla Russia hanno impiegato sia PysOps che spear-phishing per prendere di mira gli utenti per diversi mesi alla fine del 2023 in una campagna a più ondate volta a diffondere disinformazione in Ucraina e rubare le credenziali di Microsoft 365 in tutta Europa.
L’operazione – denominata Operazione Texonto – è avvenuta in due ondate distinte, la prima nell’ottobre-novembre 2023 e la seconda nel novembre-dicembre 2023, hanno scoperto i ricercatori di ESET. La campagna ha utilizzato una vasta gamma di tattiche pysop ed e-mail di spam come metodo di distribuzione principale, hanno rivelato in un post sul blog pubblicato il 22 febbraio.
Cronologicamente, la prima campagna è stata un attacco di spear phishing che ha preso di mira una società di difesa ucraina nell'ottobre 2023 e un'agenzia dell'UE nel novembre 2023. La seconda è stata una campagna di disinformazione focalizzata principalmente su obiettivi ucraini utilizzando argomenti relativi alle interruzioni del riscaldamento, alla carenza di farmaci e alla carenza di cibo – “temi tipici della campagna legata alla propaganda russa”, hanno detto i ricercatori.
Sebbene avessero obiettivi diversi, entrambi utilizzavano un'infrastruttura di rete simile, ed è così che ESET li ha collegati. Quindi, con un piccolo colpo di scena, un URL associato all'operazione Texonto doveva inviare il tipico spam canadese delle farmacie in una campagna separata avvenuta a gennaio.
Guerra ibrida Russia-Ucraina
Campagne di minaccia sono state impiegate da attori di minacce allineati con la Russia come sandworm ed Gamaredon in una guerra cibernetica con l'Ucraina correre contemporaneamente con l’operazione di terra di due anni, secondo ESET. In particolare i vermi delle sabbie tergicristalli usati a interrompere l’infrastruttura informatica ucraina all’inizio della guerra, mentre Gamaredon recentemente ha intensificato le operazioni di spionaggio informatico.
“L’operazione Texonto mostra ancora un altro uso delle tecnologie per cercare di influenzare la guerra”, hanno scritto i ricercatori nel post, anche se non hanno attribuito l’operazione a un attore specifico. “Abbiamo trovato alcune tipiche pagine di accesso false di Microsoft ma, cosa più importante, ci sono state due ondate di pysop via e-mail, probabilmente per cercare di influenzare i cittadini ucraini e far loro credere che la Russia vincerà”.
L'operazione Texonto dimostra anche altre notevoli deviazioni dalla tipica attività dannosa, osserva Matthieu Faou, il ricercatore ESET che ha condotto l'indagine, in un'e-mail a Dark Reading.
"Ciò che è interessante nel caso dell'operazione Texonto è che lo stesso attore della minaccia è impegnato sia nella disinformazione che in campagne di spear-phishing, mentre la maggior parte degli autori della minaccia fa l'uno o l'altro", osserva. "In quanto tale, è chiaro che si tratta di una pysop pianificata e non semplicemente di qualcuno che pubblica disinformazione su Internet."
La campagna mostra anche un allontanamento dall’utilizzo di canali comuni come Telegram o siti Web falsi per trasmettere messaggi dannosi, hanno osservato i ricercatori.
Due onde distinte
Il primo segnale dell'operazione è arrivato in ottobre, quando i dipendenti di un'importante azienda ucraina della difesa hanno ricevuto un premio email di phishing presumibilmente dal dipartimento IT. Il messaggio avvisava che la loro casella di posta potrebbe essere rimossa e che per accedere dovevano fare clic su un collegamento a una versione Web della casella di posta ed effettuare l'accesso utilizzando le proprie credenziali.
Il collegamento porta invece a una pagina di phishing, che i ricercatori ESET hanno ipotizzato da un altro dominio appartenente all'operazione inviata a VirusTotal che si trattasse di una pagina di accesso Microsoft falsa per rubare le credenziali di Microsoft 365, sebbene non siano stati in grado di recuperare la pagina di phishing stessa.
L'ondata successiva della campagna è stata la prima operazione pysops, che è stata inviata Le disinformazioni sanitarie e-mail con allegato PDF ad almeno alcune centinaia di persone che lavorano per il governo ucraino e le società energetiche, nonché a singoli cittadini.
Contrariamente alla campagna di phishing descritta in precedenza, l’obiettivo di queste e-mail sembrava essere puramente di disinformazione per instillare dubbi negli ucraini, piuttosto che diffondere link dannosi.
Le e-mail della campagna informavano i destinatari di potenziali carenze di cibo, riscaldamento e farmaci, arrivando addirittura a suggerire di mangiare "risotto al piccione" e fornendo persino foto di un piccione vivo e di uno cotto che "dimostra che quei documenti sono stati creati appositamente per infastidire i lettori”, hanno osservato i ricercatori.
“Nel complesso, i messaggi sono in linea con i temi comuni della propaganda russa”, hanno scritto. “Stanno cercando di far credere agli ucraini che non avranno farmaci, cibo e riscaldamento a causa della guerra Russia-Ucraina”.
La seconda fase del onda pysops è avvenuto a dicembre e si è esteso ad altri paesi europei, con una serie casuale di poche centinaia di obiettivi che vanno dal governo ucraino a un produttore di scarpe italiano, ma sempre scritti in ucraino. I ricercatori hanno scoperto due diversi modelli di email nella campagna che inviavano saluti natalizi sarcastici agli ucraini in un altro tentativo di denigrarli e scoraggiarli.
Domini dannosi e tattiche di difesa
I ricercatori hanno monitorato principalmente i domini per tenere il passo con i criminali informatici coinvolti nell’operazione Texonto, cosa che li ha portati su percorsi interessanti. Uno riguardava una campagna di spam farmaceutico canadese apparentemente non correlata ma tipica che utilizzava un server di posta elettronica gestito dagli aggressori, una "categoria di attività illegali [che] è stata molto popolare all'interno della comunità del crimine informatico russo", hanno detto.
Altri nomi di dominio associati alla campagna riflettono eventi di attualità più recenti come la morte di Alexei Navalny, il noto leader dell'opposizione russa morto in prigione il 16 febbraio. L’esistenza di questi domini – tra cui navalny-votes[.]net, navalny-votesmart[.]net e navalny-voting[.]net – “significa che l’operazione Texonto probabilmente include operazioni di spear-phishing o di informazione contro i dissidenti russi”, hanno scritto i ricercatori.
ESET ha incluso nel proprio rapporto una serie di indicatori di compromissione (IOC), inclusi domini, indirizzi e-mail e tecniche MITRE ATT&CK. I ricercatori raccomandano inoltre che le organizzazioni abilitino strategie forti autenticazione a due fattori – come un’app di autenticazione del telefono o una chiave fisica – per difendersi dagli attacchi di spear phishing che prendono di mira Office 365, afferma Faou.
Per quanto riguarda la difesa dai tentativi di attori malintenzionati di diffondere disinformazione online, "la migliore protezione è usare la nostra mentalità critica e non fidarsi di alcuna informazione su Internet", aggiunge.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- :ha
- :È
- :non
- $ SU
- 16
- 2023
- 22
- 7
- a
- capace
- Secondo
- operanti in
- attività
- attori
- indirizzi
- Aggiunge
- contro
- agenzia
- Mirato
- mira
- allineare
- anche
- an
- ed
- Un altro
- in qualsiasi
- App
- apparso
- SONO
- Italia
- AS
- associato
- At
- attacco
- attacchi
- Tentativi
- lontano
- BE
- perché
- stato
- CREDIAMO
- appartenente
- MIGLIORE
- Po
- Blog
- entrambi
- affari
- ma
- by
- è venuto
- Campagna
- Responsabile Campagne
- canadese
- Custodie
- Categoria
- canali
- cittadini
- pulire campo
- clicca
- Uncommon
- comunità
- Aziende
- azienda
- compromesso
- cotto
- paesi
- creato
- Credenziali
- critico
- Corrente
- Cyber
- cybercrime
- i criminali informatici
- Scuro
- Lettura oscura
- Morte
- Dicembre
- Difendere
- Difesa
- dimostra
- Shirts Department
- descritta
- DID
- morto
- diverso
- scoperto
- Le disinformazioni sanitarie
- screditare
- distinto
- distribuzione
- paesaggio differenziato
- do
- documenti
- dominio
- NOMI DI DOMINIO
- domini
- dubbio
- giù
- droga
- farmaci
- soprannominato
- Presto
- mangiare
- sforzo
- occupato
- dipendenti
- enable
- fine
- energia
- impegnato
- spionaggio
- EU
- Europa
- europeo
- Paesi europei
- Anche
- eventi
- esistenza
- ampliato
- falso
- lontano
- Febbraio
- pochi
- Nome
- concentrato
- cibo
- Nel
- essere trovato
- da
- scopo
- andando
- Enti Pubblici
- I saluti
- Terra
- ha avuto
- Avere
- he
- Vacanza
- Come
- Tuttavia
- HTTPS
- misura di peso di 5.8 chili
- IBRIDO
- Illegale
- importante
- in
- incluso
- inclusi
- Compreso
- individuale
- influenza
- informazioni
- informati
- Infrastruttura
- invece
- interessante
- Internet
- indagine
- coinvolto
- IT
- italiano
- SUO
- stessa
- Gennaio
- ad appena
- mantenere
- Le
- lanciare
- portare
- leader
- Leads
- meno
- Guidato
- LINK
- connesso
- Collegamento
- vita
- ceppo
- accesso
- Principale
- principalmente
- maggiore
- make
- maligno
- Costruttore
- Maggio..
- si intende
- messaggio
- messaggi
- metodo
- Microsoft
- mente
- Mindset
- Disinformazione
- mese
- Scopri di più
- maggior parte
- cambiano
- devono obbligatoriamente:
- nomi
- Rete
- GENERAZIONE
- notevole
- segnatamente
- noto
- Note
- Novembre
- Osserva
- si è verificato
- ottobre
- of
- Office
- on
- ONE
- online
- operato
- operazione
- Operazioni
- opposizione
- or
- minimo
- organizzazioni
- Altro
- nostro
- ancora
- complessivo
- pagina
- pagine
- percorsi
- Persone
- fase
- phishing
- campagna di phishing
- telefono
- Foto
- Fisico
- previsto
- Platone
- Platone Data Intelligence
- PlatoneDati
- trama
- Popolare
- Post
- potenziale
- in precedenza
- carcere
- probabilmente
- propaganda
- protezione
- fornitura
- puramente
- casuale
- gamma
- che vanno
- piuttosto
- lettori
- Lettura
- ricevuto
- recente
- recentemente
- destinatari
- raccomandare
- riflette
- relazionato
- rimosso
- rapporto
- ricercatore
- ricercatori
- Rivelato
- Russia
- Guerra Russia-Ucraina
- russo
- s
- Suddetto
- stesso
- dice
- Secondo
- apparentemente
- inviare
- inviato
- separato
- server
- alcuni
- la carenza di
- Spettacoli
- segno
- simile
- So
- finora
- alcuni
- Qualcuno
- SOW
- carne in scatola
- specifico
- Sponsored
- diffondere
- Diffondere
- Ancora
- forte
- presentata
- tale
- suggerire
- tattica
- Target
- mirata
- mira
- obiettivi
- tecniche
- Tecnologie
- Telegram
- modelli
- di
- che
- I
- loro
- Li
- temi
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- quelli
- anche se?
- minaccia
- attori della minaccia
- a
- Argomenti
- Affidati ad
- prova
- cerca
- twist
- seconda
- tipico
- Ucraina
- ucraino
- Ucraini
- URL
- uso
- utilizzato
- utenti
- utilizzando
- versione
- molto
- via
- guerra
- avvertito
- Prima
- Wave
- onde
- we
- sito web
- siti web
- WELL
- noto
- sono stati
- tenere fuori
- Che
- Che cosa è l'
- quando
- quale
- while
- OMS
- volere
- vincere
- con
- entro
- Ha vinto
- lavoro
- scritto
- ha scritto
- ancora
- zefiro