האקרים של המדינה הרוסית מבצעים קמפיינים ממוקדים של פישינג בלפחות תשע מדינות הפרוסות על פני ארבע יבשות. האימיילים שלהם מציגים עסקים ממשלתיים רשמיים, ואם הם מצליחים, מאיימים לא רק על נתונים ארגוניים רגישים, אלא גם על מודיעין גיאופוליטי בעל חשיבות אסטרטגית.
עלילה כל כך מתוחכמת ורב-שכבתית יכולה להיעשות רק על ידי קבוצה פורה כמו דובי מפואר (המכונה APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 ועוד כינויים רבים נוספים), ש-IBM X-Force עוקבת אחריהם כ-ITG05 ב- דו"ח חדש.
מלבד הפתיונות המשכנעים בנושא ממשלתי ושלוש גרסאות חדשות של דלתות אחוריות מותאמות אישית, הקמפיין בולט בעיקר במידע שהוא מכוון אליו: נראה כי Fancy Bear מכוון למידע ספציפי ביותר לשימוש לממשלת רוסיה.
פתיונות דיוג ממשלתיים
Fancy Bear השתמשה בלפחות 11 פתיונות ייחודיים בקמפיינים המיועדים לארגונים בארגנטינה, אוקראינה, גאורגיה, בלארוס, קזחסטן, פולין, ארמניה, אזרבייג'ן וארצות הברית.
הפתיונות נראים כמו מסמכים רשמיים הקשורים לממשלות בינלאומיות, המכסים נושאים רחבים כמו פיננסים, תשתית קריטית, מעורבות מנהלים, אבטחת סייבר, אבטחה ימית, בריאות וייצור תעשייתי ביטחוני.
חלקם הם מסמכים לגיטימיים, נגישים לציבור. אחרים, באופן מעניין, נראים כפנימיים לסוכנויות ממשלתיות ספציפיות, מה שמעלה את השאלה כיצד Fancy Bear שם את ידיו עליהם מלכתחילה.
"ל-X-Force אין תובנה האם ITG05 סיכן בהצלחה את הארגונים המתחזות", מציינת קלייר זבואיבה, ציידת האיומים של IBM X-Force. "מכיוון שזה אפשרי ש-ITG05 מינפה גישה לא מורשית לאיסוף מסמכים פנימיים, הודענו לכל הצדדים המחקים על הפעילות לפני הפרסום כחלק ממדיניות הגילוי האחראי שלנו."
לחלופין, ייתכן ש-Fancy Bear/ITGO5 רק חיקו קבצים אמיתיים. "לדוגמה, חלק מהמסמכים שנחשפו מציגים שגיאות בולטות כמו איות שגוי של שמות הצדדים העיקריים במה שנראה כמו חוזים ממשלתיים רשמיים", אמרה.
מניע פוטנציאלי?
תכונה חשובה נוספת של פתיונות אלה היא שהם די ספציפיים.
דוגמאות בשפה האנגלית כוללות נייר מדיניות אבטחת סייבר מאת ארגון לא ממשלתי גאורגי, ומסלול בינואר המפרט את מצוף הפעמון של הפגישה והתרגיל לשנת 2024 (XBB24) עבור משתתפי קבוצת העבודה של חיל הים האמריקני של האוקיינוס ההודי השקט (PACIOSWG).
ויש את הפתיונות בנושאי הכספים: מסמך בלארוסי עם המלצות ליצירת תנאים מסחריים כדי להקל על יזמות בין-מדינתית עד 2025, בהתאם ליוזמה של האיחוד הכלכלי האירו-אסיאתי, מסמך מדיניות תקציבית של משרד הכלכלה הארגנטינאי המציע "הנחיות אסטרטגיות" לסיוע נשיא עם מדיניות כלכלית לאומית, ועוד בכיוון זה.
"סביר להניח שאיסוף מידע רגיש בנוגע לדאגות התקציב ולמצב האבטחה של ישויות גלובליות הוא יעד בעל עדיפות גבוהה בהתחשב במרחב המשימה שהוקם של ITG05", אמרה X-Force בדו"ח שלה על הקמפיין.
ארגנטינה, למשל, דחתה לאחרונה הזמנה להצטרף לארגון הסחר BRICS (ברזיל, רוסיה, הודו, סין, דרום אפריקה), כך ש"ייתכן ש-ITG05 מבקש להשיג גישה שעשויה להניב תובנה לגבי סדרי העדיפויות של ממשלת ארגנטינה. "אמר X-Force.
פעילות לאחר ניצול
מלבד ספציפיות ומראית עין של לגיטימיות, התוקפים משתמשים בטריק פסיכולוגי אחד נוסף כדי ללכוד קורבנות: מציגים להם בתחילה רק גרסה מטושטשת של המסמך. כמו בתמונה למטה, הנמענים יכולים לראות מספיק פרטים כדי לראות שהמסמכים האלה נראים רשמיים וחשובים, אבל לא מספיק כדי להימנע מהצורך ללחוץ עליהם.
מסמך פיתוי לדוגמא; מקור: IBM
כאשר קורבנות באתרים בשליטת תוקפים לוחצים כדי לצפות במסמכי הפיתוי, הם מורידים דלת אחורית של Python בשם "Masepie". התגלה לראשונה בדצמבר, הוא מסוגל לבסס התמדה במחשב Windows, ולאפשר הורדה והעלאה של קבצים וביצוע פקודות שרירותיות.
אחד הקבצים ש-Masepie מוריד למכונות נגועות הוא "Oceanmap", כלי מבוסס C# לביצוע פקודות באמצעות פרוטוקול גישה לאינטרנט להודעות (IMAP). לגרסה המקורית של Oceanmap - לא זו שבה נעשה שימוש כאן - הייתה פונקציונליות של גניבת מידע שנכרתה מאז והועברה ל-"Steelhook", המטען הנוסף שהוורד מ-Masepie המשויך לקמפיין הזה.
Steelhook הוא סקריפט PowerShell שתפקידו לחלץ נתונים מ-Google Chrome ו-Microsoft Edge באמצעות webhook.
בולטת יותר מהתוכנה הזדונית שלה היא מיידיות הפעולה של Fancy Bear. כפי ש הראשון שתואר על ידי צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA), זיהומי דוב מפוארים עם השעה הראשונה של נחיתה על מכונת קורבן, הורידו דלתות אחוריות וערכו סיור ותנועה צדדית באמצעות גיבוב NTLMv2 גנוב עבור התקפות ממסר.
אז קורבנות פוטנציאליים צריכים לפעול במהירות או, יותר טוב, להתכונן מראש לזיהומים שלהם. הם יכולים לעשות זאת על ידי ביצוע רשימת המלצות הכביסה של IBM: ניטור אימיילים עם כתובות URL המוגשות על ידי ספק האירוח של Fancy Bear, FirstCloudIT, ותעבורת IMAP חשודה לשרתים לא ידועים, תוך טיפול בפגיעויות המועדפות שלה - כגון CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 - ועוד הרבה יותר.
"ITG05 ימשיך למנף התקפות נגד ממשלות העולם והמנגנון הפוליטי שלהן כדי לספק לרוסיה תובנה מתקדמת לגבי החלטות מדיניות מתעוררות", סיכמו החוקרים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks
- :יש ל
- :הוא
- :לֹא
- 11
- 2024
- 2025
- 7
- a
- גישה
- פרוטוקול גישה
- נגיש
- לרוחב
- לפעול
- פעולה
- פעילות
- פְּנִיָה
- לקדם
- מתקדם
- אפריקה
- נגד
- סוכנויות
- מכוון
- aka
- יישור
- תעשיות
- לאורך
- גם
- an
- ו
- לְהוֹפִיעַ
- מופיע
- שרירותי
- ARE
- ארגנטינה
- ארגנטינה
- AS
- סיוע
- המשויך
- At
- המתקפות
- להשיג
- לְהִמָנַע
- אזרבייג'ן
- דלת אחורית
- דלתות אחוריות
- BE
- דוב
- היה
- בלארוס
- פעמון
- להלן
- מוטב
- ברזיל
- brics
- רחב
- תקציב
- עסקים
- אבל
- by
- נקרא
- מבצע
- קמפיינים
- CAN
- מסוגל
- סין
- Chrome
- קליק
- לגבות
- אוסף
- מסחרי
- התפשר
- המחשב
- דאגות
- הגיע למסקנה
- תנאים
- לנהל
- יבשות
- להמשיך
- חוזים
- יכול
- מדינות
- כיסוי
- יוצרים
- קריטי
- תשתית קריטית
- מנהג
- התקפות רשת
- אבטחת סייבר
- נתונים
- דֵצֶמבֶּר
- החלטות
- גופי בטחון
- פרט
- טיפוח לרכב
- חשיפה
- גילה
- do
- מסמך
- מסמכים
- עושה
- להורדה
- הורדה
- הורדות
- כַּלְכָּלִי
- מדיניות כלכלית
- כלכלה
- אדג '
- מיילים
- חירום
- מה שמאפשר
- התקשרויות
- מספיק
- מִפְעָל
- ישויות
- שגיאות
- נוסד
- מקימים
- דוגמה
- דוגמאות
- הוצאת להורג
- מנהלים
- תרגיל
- לְהַקֵל
- אשליה
- מאפיין
- קבצים
- לממן
- ראשון
- הבא
- בעד
- יער
- ארבע
- החל מ-
- פונקציונלי
- הגיאופוליטי
- גאורגיה
- נתן
- גלוֹבָּלִי
- Google Chrome
- קבל
- ממשלה
- משרדי ממשלה
- ממשלות
- קְבוּצָה
- הנחיות
- האקרים
- היה
- ידיים
- יש
- יש
- בריאות
- כאן
- מאוד
- אירוח
- שעה
- איך
- HTTPS
- צַיָד
- יבמ
- if
- תמונה
- חשיבות
- חשוב
- in
- לכלול
- הודו
- הוֹדִי
- התעשייה
- ייצור תעשייתי
- נגוע
- זיהומים
- מידע
- תשתית
- בהתחלה
- יוזמה
- תובנה
- למשל
- מוֹדִיעִין
- פנימי
- ברמה בינלאומית
- אינטרנט
- אל תוך
- הזמנה
- IT
- שֶׁלָה
- יָנוּאָר
- עבודה
- להצטרף
- רק
- קזחסטן
- נחיתה
- שפה
- הכי פחות
- לֵגִיטִימִיוּת
- לגיטימי
- תנופה
- ממונפות
- כמו
- סביר
- קווים
- רשימה
- נראה
- נראה כמו
- מכונה
- מכונה
- לעשות
- תוכנות זדוניות
- רב
- ימי
- מאי..
- מפגש
- רק
- הודעה
- מיקרוסופט
- אדג מיקרוסופט
- משרד
- משרד הכלכלה
- משימה
- ניטור
- יותר
- רוב
- מניע
- תנועה
- הרבה
- שמות
- לאומי
- צורך
- חדש
- נגו
- תֵשַׁע
- יַקִיר
- הערות
- ים
- of
- הצעה
- רשמי
- on
- ONE
- רק
- or
- ארגון
- אִרְגוּנִי
- ארגונים
- מְקוֹרִי
- אחר
- אחרים
- שלנו
- הַחוּצָה
- פסיפיק
- מאמר
- חלק
- המשתתפים
- צדדים
- ביצוע
- התמדה
- דיוג
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- עלילה
- פולין
- מדיניות
- פוליטי
- אפשרי
- פוטנציאל
- PowerShell
- להכין
- מציג
- נשיא
- מנהל
- קודם
- הפקה
- פורה
- פרוטוקול
- לספק
- ספק
- פסיכולוגי
- פרסום
- בפומבי
- פיתון
- איכות
- שאלה
- מהירות
- דַי
- העלאה
- ממשי
- לאחרונה
- נמענים
- המלצות
- בדבר
- נִדחֶה..
- לדווח
- חוקרים
- תגובה
- אחראי
- רוסיה
- רוסי
- s
- אמר
- תסריט
- אבטחה
- לִרְאוֹת
- מחפש
- רגיש
- שירת
- שרתים
- היא
- משלוח
- since
- אתרים
- So
- כמה
- מתוחכם
- מָקוֹר
- דרום
- דרום אפריקה
- מֶרחָב
- ספציפי
- ספֵּצִיפִיוּת
- התפשטות
- עומד
- מדינה
- הברית
- עוד
- גָנוּב
- אסטרטגי
- מוצלח
- בהצלחה
- כזה
- חשוד
- יעד
- ממוקד
- מיקוד
- מטרות
- נבחרת
- מֵאֲשֶׁר
- זֶה
- השמיים
- המידע
- שֶׁלָהֶם
- אותם
- נושאים
- שם.
- אלה
- הֵם
- זֶה
- איום
- מאיים
- שְׁלוֹשָׁה
- ל
- כלי
- מסלולים
- סחר
- תְנוּעָה
- הועבר
- טריק
- אוקראינה
- לא מורשה
- חָשׂוּף
- התאחדות
- ייחודי
- מאוחד
- ארצות הברית
- לא ידוע
- העלאה
- us
- להשתמש
- מְשׁוּמָשׁ
- מנוצל
- גִרְסָה אַחֶרֶת
- גרסה
- באמצעות
- קרבן
- קורבנות
- לצפיה
- פגיעויות
- we
- מה
- אם
- אשר
- של מי
- יצטרך
- חלונות
- עם
- עובד
- קבוצת עבודה
- עוֹלָם
- עולמי
- עוד
- תְשׁוּאָה
- זפירנט
