ロシアの SolarWinds の犯人が新たなスパイ活動のサイバー攻撃を開始

進行中のウクライナ侵攻の一環として、ロシアの諜報機関は再びハッカー グループ Nobelium/APT29 のサービスを利用しました。今回は、NATO 加盟国の外務省や外交官、および欧州連合やアフリカの他の標的をスパイするためです。 .

このタイミングは、カナダのインフラストラクチャに対する一連の攻撃とも一致しており、これもロシアに関連していると考えられています。

ポーランド軍事防諜局とポーランドの CERT チームは 13 月 XNUMX 日に警告を発し、侵入の痕跡を示して、脅威についてスパイ活動の潜在的な標的に警告しました。 ノーベリウム、グループが Microsoft によって指定されているため、名前も付けられます MandiantによるAPT29、国家スパイゲームに新しいものではありません、グループは悪名高い背後にありました SolarWindsサプライチェーン攻撃 XNUMX年近く前。

現在、APT29 はまったく新しい一連のマルウェア ツールを持って戻ってきており、ウクライナを支持する国の外交団に侵入するための行進命令を報告していると、ポーランド軍と CERT アラートは説明しています。

APT29 が新たな注文で復活

ポーランドのアラートによると、すべての事例において、APT (Advanced Persistent Threat) はよく練られたスピア フィッシング メールで攻撃を開始します。

「ヨーロッパ諸国の大使館になりすました電子メールが、外交官の選抜された職員に送信された」と当局は説明した。 「通信には、会議への招待、または文書での共同作業への招待が含まれていました。」

メッセージは受信者に、リンクをクリックするか、PDF をダウンロードして大使のカレンダーにアクセスするか、会議の詳細を取得するように指示します。どちらも、脅威グループの「シグネチャ スクリプト」が読み込まれた悪意のあるサイトにターゲットを送信します。 「エンビスカウト」

"t は、HTML スマグリング手法を利用しています。これにより、ページに配置された悪意のあるファイルは、ページが開かれたときに JavaScript を使用してデコードされ、被害者のデバイスにダウンロードされます」とポーランド当局は付け加えました。 「これにより、悪意のあるファイルが保存されているサーバー側での検出がより困難になります。」

悪意のあるサイトはまた、標的が正しいファイルをダウンロードしたことを保証するメッセージを標的に送信します。

「スピア フィッシング攻撃は、コミュニケーションが適切に記述され、個人情報を使用してターゲットに精通していることを示し、正当なソースから送信されたように見える場合に成功します」と、SlashNext の CEO である Patrick Harr 氏は Dark Reading にキャンペーンについて語っています。 「このスパイ活動は、成功の基準をすべて満たしています。」

1 phishing emailたとえば、ポーランド大使館になりすました。興味深いことに、観察されたキャンペーンの過程で、Envyscout ツールは XNUMX 回調整され、難読化が改善されたとポーランド当局は指摘しています。

侵害されると、このグループは、Snowyamber ダウンローダーである Halfrig の修正版を使用します。 コバルトストライク 埋め込みコードとして、および Halfrig とコードを共有する Quarterrig と、ポーランドのアラートは述べています。

「悪意のある攻撃者がキャンペーンの複数の段階を使用して調整し、成功を改善するこれらの攻撃が増加しています」と Harr 氏は付け加えます。 「彼らは自動化と機械学習技術を採用して、検出を回避しているものを特定し、その後の攻撃を修正して成功を改善します。」
ポーランドのサイバーセキュリティ当局によると、政府、外交官、国際機関、および非政府組織 (NGO) は、これやその他のロシアのスパイ活動に対して厳重な警戒を払う必要があります。

「軍事防諜局とCERT.PLは、攻撃者の関心領域にいる可能性のあるすべてのエンティティが、説明されたキャンペーンで使用された配信メカニズムを妨害するために構成の変更を実装することを強く推奨します」と当局者は述べています.

カナダのインフラに対するロシア関連の攻撃

ポーランドのサイバーセキュリティ当局者からの警告に加えて、先週、カナダのジャスティン・トルドー首相は、最近の一連の攻撃について公式声明を発表しました。 ロシア関連のサイバー攻撃 を含むカナダのインフラストラクチャを対象としています。 DoS攻撃 ハイドロでケベック州、電力会社、トルドー首相官邸のウェブサイト、港湾 ケベック, ローレンシア銀行。 トルドー首相は、サイバー攻撃はカナダのウクライナ支援に関連していると述べた。

「政府のウェブサイトへのサービス拒否攻撃が数時間発生し、それらが数時間ダウンしたからといって、ウクライナを支援するために必要なことは何でもするという明確な姿勢を再考することにはならないだろう」とトルドー首相は述べた。 、 報告書によると.

カナダ サイバー セキュリティ センターのボスであるサミ コーリーは、先週の記者会見で、カナダのインフラストラクチャに被害はありませんでしたが、「脅威は現実のものです」と述べました。カナダ人にアクセスしたり、ヘルスケアを提供したり、カナダ人がなくてはならないサービスを一般的に運営したりするためには、システムを保護する必要があります」と Khoury 氏は述べています。 「ネットワークを監視してください。 軽減策を適用してください。」

ロシアのサイバー犯罪の取り組みが激化

ロシアのウクライナ侵攻が XNUMX 年目に突入する中、Vulcan Cyber​​ の Mike Parkin 氏は、最近のキャンペーンは驚くべきことではないと述べています。

「サイバーセキュリティ コミュニティは、ウクライナでの紛争が始まって以来、その影響と巻き添え被害を監視しており、ロシアと親ロシア派の脅威アクターが西側の標的に対して活動していることを知っています。」 パーキンは言います。 「私たちがすでに対処しているサイバー犯罪活動のレベルを考えると、[これらは] 新しいツールと新しい標的に過ぎず、防御が最新で適切に構成されていることを確認するためのリマインダーです。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks