Il gruppo sostenuto dalla Russia dietro il famigerato attacco SolarWinds sta prendendo di mira “un numero sorprendente” di diplomatici stranieri che lavorano nelle ambasciate in Ucraina con esche un po’ più personali rispetto ai tradizionali metodi politici normalmente utilizzati per indurli a fare clic su collegamenti dannosi.
I ricercatori dell'Unità 42 di Palo Alto Networks hanno osservato il gruppo, di cui tengono traccia Orsa ammantata ma che è meglio conosciuto come Nobelium/APT29, un veicolo con cui spostarsi.
L'esca iniziale della campagna sembrava utilizzare un volantino legittimo per la vendita di una berlina BMW usata a Kiev, diffuso in varie ambasciate da un diplomatico del Ministero degli Affari Esteri polacco. Anche se sembra abbastanza innocuo, la vendita di un’auto affidabile da parte di un diplomatico fidato – soprattutto in una zona dilaniata dalla guerra come l’Ucraina – potrebbe sicuramente attirare l’attenzione di un nuovo arrivato sulla scena, hanno osservato i ricercatori.
Questo è qualcosa che Cloaked Ursa ha colto come un'opportunità, riproponendo il volantino per crearne uno illegittimo, che il gruppo ha inviato a più missioni diplomatiche due settimane dopo come esca nella sua campagna malware. Il gruppo ha incluso nel messaggio un link dannoso, affermando che lì gli obiettivi possono trovare altre foto dell'auto. Facendo clic sul collegamento, le vittime trovano molto più che semplici foto, che eseguono il malware silenziosamente in background mentre l'immagine selezionata viene visualizzata sullo schermo della vittima.
Il carico utile della campagna è un malware basato su JavaScript che fornisce agli aggressori una backdoor pronta per lo spionaggio nel sistema della vittima e la possibilità di caricare ulteriore codice dannoso attraverso una connessione comando e controllo (C2).
L'Advanced Persistent Threat (APT) ha mostrato premeditazione nel generare il suo elenco di obiettivi, utilizzando indirizzi e-mail di ambasciate disponibili pubblicamente per circa l'80% delle vittime prese di mira e indirizzi e-mail non pubblicati non trovati sul Web di superficie per il restante 20%. Questo probabilmente “per massimizzare il loro accesso alle reti desiderate”, secondo l’Unità 42.
I ricercatori hanno osservato Cloaked Ursa condurre la campagna contro 22 delle 80 missioni straniere in Ucraina, ma il numero effettivo di obiettivi è probabilmente più elevato, hanno detto.
“Si tratta di una portata sconcertante per quelle che generalmente sono operazioni APT clandestine e di portata ristretta”, secondo l’Unità 42.
Un cambiamento nelle tattiche informatiche del malware
È un perno strategico usare argomenti legati al loro lavoro come esca, hanno rivelato i ricercatori un post sul blog pubblicato questa settimana.
"Queste esche non convenzionali sono progettate per invogliare il destinatario ad aprire un accessorio in base ai propri bisogni e desideri invece che come parte dei loro compiti di routine", hanno scritto i ricercatori.
Questo cambiamento nelle tattiche di esca potrebbe essere una mossa per aumentare il fattore di successo della campagna non solo per compromettere l’obiettivo iniziale ma anche altri all’interno della stessa organizzazione, estendendone così la portata, hanno suggerito i ricercatori.
“Le esche stesse sono ampiamente applicabili in tutta la comunità diplomatica e quindi possono essere inviate e inoltrate a un numero maggiore di obiettivi”, hanno scritto nel post. "È anche più probabile che vengano inoltrati ad altri all'interno di un'organizzazione, così come all'interno della comunità diplomatica."
Cloaked Ursa/Nobelium/APT29, è un gruppo sponsorizzato dallo stato associato al Foreign Intelligence Service (SVR) russo, è forse meglio conosciuto per il Attacco SolarWinds, iniziato con una backdoor scoperta nel dicembre 2020 che si è diffusa a circa 18,000 organizzazioni tramite aggiornamenti software infetti e continua ad avere un impatto su tutta la catena di fornitura del software.
Da allora il gruppo è rimasto costantemente attivo, montando una serie di attacchi che sono in linea con la posizione geopolitica complessiva della Russia contraria vari ministri degli Esteri e diplomaticie il governo degli Stati Uniti. Un denominatore comune tra gli incidenti è a sofisticatezza sia nelle tattiche che nello sviluppo di malware personalizzato.
L'Unità 42 ha notato somiglianze con altre campagne note di Cloaked Ursa, inclusi gli obiettivi dell'attacco, e sovrapposizioni di codice con altri malware noti del gruppo.
Mitigare gli attacchi informatici APT alla società civile
I ricercatori hanno offerto alcuni consigli alle persone in missione diplomatica per evitare di cadere preda di attacchi sofisticati e intelligenti da parte di APT come Cloaked Ursa. Il primo è che gli amministratori formino i diplomatici appena assegnati sulle minacce alla sicurezza informatica per la regione prima del loro arrivo.
I dipendenti governativi o aziendali in generale dovrebbero sempre prestare attenzione ai download, anche da siti apparentemente innocui o legittimi, e prendere ulteriori precauzioni per osservare il reindirizzamento degli URL quando si utilizzano servizi di abbreviazione degli URL, poiché ciò può essere un segno distintivo di un attacco di phishing.
Le persone dovrebbero anche prestare molta attenzione agli allegati delle e-mail per evitare di essere vittime di phishing, hanno detto i ricercatori. Dovrebbero verificare i tipi di estensione dei file per assicurarsi che il file che stanno aprendo sia quello desiderato, evitando file con estensioni che non corrispondono o che tentano di offuscare la natura del file.
Infine, i ricercatori hanno suggerito che i dipendenti diplomatici disattivino di regola JavaScript, il che renderebbe impossibile l'esecuzione di qualsiasi malware basato su quel linguaggio di programmazione.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats
- :ha
- :È
- :non
- 000
- 2020
- 22
- 7
- 80
- a
- capacità
- capace
- Chi siamo
- accesso
- Secondo
- operanti in
- attivo
- presenti
- indirizzi
- amministratori
- Avanzate
- consigli
- Affari
- contro
- allineare
- anche
- sempre
- an
- ed
- in qualsiasi
- apparso
- applicabile
- APT
- SONO
- RISERVATA
- in giro
- arrivo
- AS
- addetto
- associato
- At
- attacco
- attacchi
- attenzione
- disponibile
- evitare
- evitando
- porta posteriore
- sfondo
- esca
- basato
- BE
- dietro
- essendo
- MIGLIORE
- Meglio
- Po
- Blog
- BMW
- entrambi
- in linea di massima
- ma
- by
- Campagna
- Responsabile Campagne
- Materiale
- auto
- cauto
- catena
- il cambiamento
- clicca
- Chiudi
- codice
- Uncommon
- comunità
- compromesso
- veloce
- Aziende
- potuto
- creare
- costume
- Cyber
- attacchi informatici
- Cybersecurity
- Dicembre
- decisamente
- progettato
- desiderato
- diplomatici
- scoperto
- display
- don
- download
- disegnare
- dipendenti
- garantire
- particolarmente
- Anche
- eseguire
- esegue
- estendendo
- estensione
- estensioni
- extra
- fattore
- abbastanza
- Caduta
- Compila il
- File
- Trovare
- Nel
- estero
- essere trovato
- da
- ulteriormente
- Generale
- generalmente
- generare
- geopolitica
- ottenere
- dà
- Enti Pubblici
- maggiore
- Gruppo
- avendo
- superiore
- HTTPS
- if
- Immagine
- Impact
- in
- incluso
- Compreso
- Aumento
- infame
- inizialmente
- innocente
- interno
- invece
- Intelligence
- ai miglioramenti
- IT
- SUO
- JavaScript
- Offerte di lavoro
- jpg
- ad appena
- conosciuto
- Lingua
- dopo
- legittimo
- piace
- probabile
- LINK
- Collegamento
- Lista
- caricare
- il malware
- partita
- Importanza
- Massimizzare
- messaggio
- ministero
- missioni
- Scopri di più
- cambiano
- multiplo
- Natura
- esigenze
- reti
- New
- recentemente
- normalmente
- noto
- numero
- osservare
- of
- offerto
- on
- ONE
- esclusivamente
- aprire
- apertura
- Operazioni
- Opportunità
- or
- organizzazione
- organizzazioni
- Altro
- Altri
- complessivo
- proprio
- palo Alto
- parte
- Paga le
- Persone
- Forse
- cronologia
- phishing
- attacco di phishing
- Foto
- Perno
- Platone
- Platone Data Intelligence
- PlatoneDati
- Polacco
- politico
- Post
- Precedente
- Programmazione
- pubblicamente
- pubblicato
- raggiungere
- regione
- relazionato
- affidabile
- è rimasta
- ricercatori
- Rivelato
- Regola
- Russia
- s
- Suddetto
- vendita
- stesso
- detto
- scena
- portata
- allo
- apparentemente
- sembra
- selezionato
- inviato
- Serie
- servizio
- Servizi
- dovrebbero
- ha mostrato
- somiglianze
- da
- Siti
- Software
- SolarWinds
- alcuni
- qualcosa
- sofisticato
- diffondere
- iniziato
- Ancora
- Strategico
- soggetto
- il successo
- fornire
- supply chain
- superficie
- sistema
- tattica
- Fai
- Target
- mirata
- mira
- obiettivi
- di
- che
- I
- loro
- Li
- si
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- questa settimana
- minaccia
- minacce
- Attraverso
- a
- pista
- tradizionale
- Treni
- di fiducia
- seconda
- Tipi di
- Ucraina
- incapace
- non convenzionale
- unità
- Aggiornamenti
- URL
- us
- noi governo
- uso
- utilizzato
- utilizzando
- vario
- veicolo
- verificare
- via
- Vittima
- vittime
- volere
- vuole
- Prima
- sito web
- settimana
- Settimane
- WELL
- Che
- quando
- quale
- while
- con
- entro
- lavoro
- sarebbe
- ha scritto
- zefiro
