Come parte della sua continua invasione dell'Ucraina, l'intelligence russa ha arruolato ancora una volta i servizi del gruppo di hacker Nobelium/APT29, questa volta per spiare ministeri degli esteri e diplomatici degli stati membri della NATO, nonché altri obiettivi nell'Unione Europea e in Africa .
La tempistica coincide anche con un'ondata di attacchi alle infrastrutture canadesi, ritenute anch'esse collegate alla Russia.
Il servizio di controspionaggio militare polacco e il team CERT in Polonia hanno emesso un avviso il 13 aprile, insieme a indicatori di compromissione, avvertendo i potenziali bersagli della campagna di spionaggio della minaccia. Nobelium, poiché il gruppo è designato da Microsoft, anche denominato APT29 di Mandiant, non è nuovo al gioco dello spionaggio di stato-nazione, il gruppo era dietro il famigerato Attacco alla supply chain di SolarWinds quasi tre anni fa.
Ora, APT29 è tornato con una serie completamente nuova di strumenti malware e ha segnalato ordini di marcia per infiltrarsi nel corpo diplomatico dei paesi che sostengono l'Ucraina, hanno spiegato l'allarme militare e CERT polacco.
APT29 è tornato con nuovi ordini
In ogni caso, l'Advanced Persistent Threat (APT) inizia il suo attacco con un'e-mail di spear-phishing ben concepita, secondo l'avviso polacco.
"Le e-mail che impersonavano le ambasciate dei paesi europei sono state inviate a personale selezionato presso le sedi diplomatiche", hanno spiegato le autorità. "La corrispondenza conteneva un invito a una riunione o a lavorare insieme su documenti".
Il messaggio indirizzerebbe quindi il destinatario a fare clic su un collegamento o scaricare un PDF per accedere al calendario dell'ambasciatore o ottenere i dettagli della riunione: entrambi inviano gli obiettivi a un sito dannoso caricato con lo "script di firma" del gruppo di minacce, che il rapporto identifica come "Esploratore dell'invidia".
"It utilizza la tecnica di contrabbando HTML, in base alla quale un file dannoso inserito nella pagina viene decodificato utilizzando JavaScript quando la pagina viene aperta e quindi scaricato sul dispositivo della vittima", hanno aggiunto le autorità polacche. "Ciò rende il file dannoso più difficile da rilevare sul lato server in cui è archiviato."
Il sito dannoso invia anche agli obiettivi un messaggio rassicurandoli che hanno scaricato il file corretto, diceva l'avviso.
"Gli attacchi di spear phishing hanno successo quando le comunicazioni sono ben scritte, utilizzano informazioni personali per dimostrare familiarità con l'obiettivo e sembrano provenire da una fonte legittima", Patrick Harr, CEO di SlashNext, racconta a Dark Reading della campagna. "Questa campagna di spionaggio soddisfa tutti i criteri per il successo."
Uno email di phishing, ad esempio, ha impersonato l'ambasciata polacca e, curiosamente, nel corso della campagna osservata, lo strumento Envyscout è stato ottimizzato tre volte con miglioramenti dell'offuscamento, hanno osservato le autorità polacche.
Una volta compromesso, il gruppo utilizza versioni modificate del downloader di Snowyamber, Halfrig, che viene eseguito Colpo di cobalto come codice incorporato e Quarterrig, che condivide il codice con Halfrig, ha detto l'allerta polacco.
"Stiamo assistendo a un aumento di questi attacchi in cui il cattivo attore utilizza più fasi in una campagna per regolare e migliorare il successo", aggiunge Harr. "Utilizzano tecniche di automazione e apprendimento automatico per identificare ciò che sta eludendo il rilevamento e modificare gli attacchi successivi per migliorare il successo".
Governi, diplomatici, organizzazioni internazionali e organizzazioni non governative (ONG) dovrebbero essere in massima allerta per questo e altri tentativi di spionaggio russo, secondo le autorità di sicurezza informatica polacche.
"Il servizio di controspionaggio militare e CERT.PL raccomandano vivamente a tutte le entità che potrebbero trovarsi nell'area di interesse dell'attore di implementare modifiche alla configurazione per interrompere il meccanismo di consegna utilizzato nella campagna descritta", hanno affermato i funzionari.
Attacchi collegati alla Russia alle infrastrutture canadesi
Oltre agli avvertimenti dei funzionari polacchi della sicurezza informatica, la scorsa settimana il primo ministro canadese Justin Trudeau ha rilasciato dichiarazioni pubbliche su una recente ondata di Attacchi informatici collegati alla Russia mirato alle infrastrutture canadesi, incluso attacchi denial-of-service su idro-Québec, azienda elettrica, il sito web dell'ufficio di Trudeau, il Porto di Québece Banco Laurenziano. Trudeau ha affermato che gli attacchi informatici sono legati al sostegno del Canada all'Ucraina.
"Un paio di attacchi denial-of-service ai siti web del governo, che li hanno bloccati per alcune ore, non ci faranno ripensare alla nostra posizione inequivocabile di fare tutto il necessario per tutto il tempo necessario per sostenere l'Ucraina ", ha affermato Trudeau. , secondo i rapporti.
Il capo del Centro canadese per la sicurezza informatica, Sami Khoury, ha dichiarato in una conferenza stampa la scorsa settimana che, sebbene non ci siano stati danni all'infrastruttura del Canada, "la minaccia è reale". "Se gestisci i sistemi critici che alimentano le nostre comunità, offri Internet accesso ai canadesi, fornire assistenza sanitaria o in generale gestire uno qualsiasi dei servizi di cui i canadesi non possono fare a meno, è necessario proteggere i propri sistemi ", ha affermato Khoury. “Monitora le tue reti. Applicare mitigazioni.
Gli sforzi della Russia contro la criminalità informatica infuriano
Mentre l'invasione russa dell'Ucraina prosegue nel suo secondo anno, Mike Parkin con Vulcan Cyber afferma che le recenti campagne non dovrebbero essere una sorpresa.
"La comunità della sicurezza informatica ha osservato le ricadute e i danni collaterali del conflitto in Ucraina sin dall'inizio, e sappiamo che gli attori delle minacce russi e filo-russi erano attivi contro obiettivi occidentali", dice Parkin. “Considerando i livelli di attività dei criminali informatici con cui avevamo già a che fare, [questi sono] solo alcuni nuovi strumenti e nuovi obiettivi e un promemoria per assicurarci che le nostre difese siano aggiornate e configurate correttamente".
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks
- :È
- $ SU
- 7
- a
- WRI
- accesso
- Secondo
- attivo
- attività
- attori
- aggiunto
- Aggiunge
- Avanzate
- Africa
- contro
- Mettere in guardia
- Tutti
- già
- Ambassador
- ed
- apparire
- APPLICA
- Aprile
- APT
- SONO
- RISERVATA
- AS
- At
- attacco
- attacchi
- Autorità
- Automazione
- precedente
- Vasca
- Banca
- BE
- dietro
- creduto
- CAPO
- Portare
- by
- Calendario
- Campagna
- Responsabile Campagne
- Materiale
- Canada
- canadese
- I canadesi
- che
- Causare
- centro
- ceo
- catena
- Modifiche
- clicca
- codice
- Collaterale
- Venire
- Comunicazioni
- Comunità
- comunità
- compromesso
- Compromissione
- Convegno
- Configurazione
- conflitto
- paesi
- Coppia
- Portata
- criteri
- critico
- Cyber
- sicurezza informatica
- attacchi informatici
- cybercrime
- CIBERCRIMINALE
- Cybersecurity
- Scuro
- Lettura oscura
- Data
- trattare
- consegna
- dimostrare
- descritta
- designato
- dettagli
- rivelazione
- dispositivo
- difficile
- diplomatici
- dirette
- disturbare
- documenti
- fare
- giù
- scaricare
- sforzi
- Elettrico
- incorporato
- entità
- spionaggio
- europeo
- Paesi europei
- Unione europea
- Ogni
- ha spiegato
- fallout
- Familiarità
- pochi
- Compila il
- Nel
- estero
- fresco
- da
- gioco
- generalmente
- ottenere
- andando
- Enti Pubblici
- Gruppo
- degli hacker
- Salute e benessere
- Assistenza sanitaria
- Alta
- ORE
- HTTPS
- identifica
- identificare
- realizzare
- competenze
- miglioramenti
- in
- Compreso
- Aumento
- infame
- informazioni
- Infrastruttura
- esempio
- Intelligence
- interesse
- Internazionale
- Internet
- accesso ad Internet
- invasione
- invito
- Rilasciato
- IT
- SUO
- JavaScript
- jpg
- Justin
- Justin Trudeau
- conosciuto
- Cognome
- lanciare
- apprendimento
- livelli
- LINK
- connesso
- Lunghi
- macchina
- machine learning
- fatto
- make
- FA
- il malware
- Maggio..
- meccanismo
- incontro
- Soddisfa
- messaggio
- Microsoft
- Militare
- modificato
- modificare
- Monitorare
- Scopri di più
- multiplo
- Detto
- quasi
- reti
- New
- notizie
- ONG
- noto
- of
- offrire
- Office
- on
- in corso
- ha aperto
- operare
- ordini
- organizzazioni
- Altro
- pagina
- parte
- passato
- cronologia
- Personale
- Platone
- Platone Data Intelligence
- PlatoneDati
- Polonia
- Polacco
- Post
- potenziale
- energia
- premio
- primo ministro
- propriamente
- protegge
- fornire
- la percezione
- Rage
- Lettura
- di rose
- rassicurante
- recente
- raccomandare
- relazionato
- rapporto
- Segnalati
- Correre
- Russia
- russo
- s
- Suddetto
- dice
- Secondo
- problemi di
- vedendo
- selezionato
- servizio
- Servizi
- set
- azioni
- dovrebbero
- lato
- da
- site
- SolarWinds
- alcuni
- Fonte
- tappe
- iniziato
- dichiarazioni
- stati
- memorizzati
- successivo
- il successo
- di successo
- fornire
- supply chain
- supporto
- di supporto
- sorpresa
- SISTEMI DI TRATTAMENTO
- prende
- Target
- obiettivi
- team
- tecniche
- dice
- che
- Il
- Li
- Strumenti Bowman per analizzare le seguenti finiture:
- minaccia
- attori della minaccia
- tre
- per tutto
- tempo
- volte
- sincronizzazione
- a
- insieme
- strumenti
- Trudeau
- Ucraina
- unione
- us
- uso
- utilità
- utilizza
- Ve
- Vittima
- Vulcano
- salari
- identificazione dei warning
- guardare
- Sito web
- siti web
- settimana
- WELL
- Occidentale
- Che
- Che cosa è l'
- quale
- while
- tutto
- con
- senza
- Lavora
- lavorare insieme
- sarebbe
- scritto
- anno
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro
