進行中のウクライナ侵攻の一環として、ロシアの諜報機関は再びハッカー グループ Nobelium/APT29 のサービスを利用しました。今回は、NATO 加盟国の外務省や外交官、および欧州連合やアフリカの他の標的をスパイするためです。 .
このタイミングは、カナダのインフラストラクチャに対する一連の攻撃とも一致しており、これもロシアに関連していると考えられています。
ポーランド軍事防諜局とポーランドの CERT チームは 13 月 XNUMX 日に警告を発し、侵入の痕跡を示して、脅威についてスパイ活動の潜在的な標的に警告しました。 ノーベリウム、グループが Microsoft によって指定されているため、名前も付けられます MandiantによるAPT29、国家スパイゲームに新しいものではありません、グループは悪名高い背後にありました SolarWindsサプライチェーン攻撃 XNUMX年近く前。
現在、APT29 はまったく新しい一連のマルウェア ツールを持って戻ってきており、ウクライナを支持する国の外交団に侵入するための行進命令を報告していると、ポーランド軍と CERT アラートは説明しています。
APT29 が新たな注文で復活
ポーランドのアラートによると、すべての事例において、APT (Advanced Persistent Threat) はよく練られたスピア フィッシング メールで攻撃を開始します。
「ヨーロッパ諸国の大使館になりすました電子メールが、外交官の選抜された職員に送信された」と当局は説明した。 「通信には、会議への招待、または文書での共同作業への招待が含まれていました。」
メッセージは受信者に、リンクをクリックするか、PDF をダウンロードして大使のカレンダーにアクセスするか、会議の詳細を取得するように指示します。どちらも、脅威グループの「シグネチャ スクリプト」が読み込まれた悪意のあるサイトにターゲットを送信します。 「エンビスカウト」
"t は、HTML スマグリング手法を利用しています。これにより、ページに配置された悪意のあるファイルは、ページが開かれたときに JavaScript を使用してデコードされ、被害者のデバイスにダウンロードされます」とポーランド当局は付け加えました。 「これにより、悪意のあるファイルが保存されているサーバー側での検出がより困難になります。」
悪意のあるサイトはまた、標的が正しいファイルをダウンロードしたことを保証するメッセージを標的に送信します。
「スピア フィッシング攻撃は、コミュニケーションが適切に記述され、個人情報を使用してターゲットに精通していることを示し、正当なソースから送信されたように見える場合に成功します」と、SlashNext の CEO である Patrick Harr 氏は Dark Reading にキャンペーンについて語っています。 「このスパイ活動は、成功の基準をすべて満たしています。」
1 phishing emailたとえば、ポーランド大使館になりすました。興味深いことに、観察されたキャンペーンの過程で、Envyscout ツールは XNUMX 回調整され、難読化が改善されたとポーランド当局は指摘しています。
侵害されると、このグループは、Snowyamber ダウンローダーである Halfrig の修正版を使用します。 コバルトストライク 埋め込みコードとして、および Halfrig とコードを共有する Quarterrig と、ポーランドのアラートは述べています。
「悪意のある攻撃者がキャンペーンの複数の段階を使用して調整し、成功を改善するこれらの攻撃が増加しています」と Harr 氏は付け加えます。 「彼らは自動化と機械学習技術を採用して、検出を回避しているものを特定し、その後の攻撃を修正して成功を改善します。」
ポーランドのサイバーセキュリティ当局によると、政府、外交官、国際機関、および非政府組織 (NGO) は、これやその他のロシアのスパイ活動に対して厳重な警戒を払う必要があります。
「軍事防諜局とCERT.PLは、攻撃者の関心領域にいる可能性のあるすべてのエンティティが、説明されたキャンペーンで使用された配信メカニズムを妨害するために構成の変更を実装することを強く推奨します」と当局者は述べています.
カナダのインフラに対するロシア関連の攻撃
ポーランドのサイバーセキュリティ当局者からの警告に加えて、先週、カナダのジャスティン・トルドー首相は、最近の一連の攻撃について公式声明を発表しました。 ロシア関連のサイバー攻撃 を含むカナダのインフラストラクチャを対象としています。 DoS攻撃 ハイドロでケベック州、電力会社、トルドー首相官邸のウェブサイト、港湾 ケベック, ローレンシア銀行。 トルドー首相は、サイバー攻撃はカナダのウクライナ支援に関連していると述べた。
「政府のウェブサイトへのサービス拒否攻撃が数時間発生し、それらが数時間ダウンしたからといって、ウクライナを支援するために必要なことは何でもするという明確な姿勢を再考することにはならないだろう」とトルドー首相は述べた。 、 報告書によると.
カナダ サイバー セキュリティ センターのボスであるサミ コーリーは、先週の記者会見で、カナダのインフラストラクチャに被害はありませんでしたが、「脅威は現実のものです」と述べました。カナダ人にアクセスしたり、ヘルスケアを提供したり、カナダ人がなくてはならないサービスを一般的に運営したりするためには、システムを保護する必要があります」と Khoury 氏は述べています。 「ネットワークを監視してください。 軽減策を適用してください。」
ロシアのサイバー犯罪の取り組みが激化
ロシアのウクライナ侵攻が XNUMX 年目に突入する中、Vulcan Cyber の Mike Parkin 氏は、最近のキャンペーンは驚くべきことではないと述べています。
「サイバーセキュリティ コミュニティは、ウクライナでの紛争が始まって以来、その影響と巻き添え被害を監視しており、ロシアと親ロシア派の脅威アクターが西側の標的に対して活動していることを知っています。」 パーキンは言います。 「私たちがすでに対処しているサイバー犯罪活動のレベルを考えると、[これらは] 新しいツールと新しい標的に過ぎず、防御が最新で適切に構成されていることを確認するためのリマインダーです。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks
- :は
- $UP
- 7
- a
- 私たちについて
- アクセス
- 従った
- アクティブ
- アクティビティ
- 俳優
- 追加されました
- 追加
- 高度な
- アフリカ
- に対して
- 警告
- すべて
- 既に
- 大使
- および
- 現れる
- 申し込む
- 4月
- APT
- です
- AREA
- AS
- At
- 攻撃
- 攻撃
- 当局
- オートメーション
- バック
- 悪い
- 銀行
- BE
- 背後に
- 信じて
- ボス
- 持参
- by
- カレンダー
- キャンペーン
- キャンペーン
- 缶
- カナダ
- カナダ人
- これ
- 原因となる
- センター
- 最高経営責任者(CEO)
- チェーン
- 変更
- クリック
- コード
- 担保
- 来ます
- 通信部
- コミュニティ
- コミュニティ
- 妥協
- 損害を受けた
- 講演
- 紛争
- 国
- カップル
- コース
- 基準
- 重大な
- サイバー
- サイバーセキュリティ
- サイバー攻撃
- サイバー犯罪
- サイバー犯罪者
- サイバーセキュリティ
- 暗いです
- 暗い読書
- 日付
- 取引
- 配達
- 実証します
- 記載された
- 指定された
- 細部
- 検出
- デバイス
- 難しい
- 外交官
- 直接
- 混乱する
- ドキュメント
- すること
- ダウン
- ダウンロード
- 努力
- 電気
- メール
- 埋め込まれた
- エンティティ
- スパイ
- 欧州言語
- ヨーロッパ諸国
- 欧州連合
- あらゆる
- 説明
- 放射性降下物
- 親しみ
- 少数の
- File
- 外国の
- 新鮮な
- から
- ゲーム
- 一般に
- 取得する
- 行く
- 政府・公共機関
- グループ
- ハッカー
- 健康
- ヘルスケア
- ハイ
- HOURS
- HTTPS
- 識別する
- 識別する
- 実装する
- 改善します
- 改善
- in
- 含めて
- 増える
- インジケータ
- 悪名高いです
- 情報
- インフラ
- インテリジェンス
- 関心
- 世界全体
- インターネット
- インターネット・アクセス
- 侵略
- 招待状
- 発行済み
- IT
- ITS
- JavaScriptを
- JPG
- ジャスティン
- ジャスティン・トルドー
- 既知の
- 姓
- 起動する
- 学習
- レベル
- LINK
- リンク
- 長い
- 機械
- 機械学習
- 製
- make
- 作る
- マルウェア
- 五月..
- メカニズム
- ご相談
- ミーツ
- メッセージ
- Microsoft
- ミリタリー用(軍用)機材
- 修正されました
- 修正する
- モニター
- 他には?
- の試合に
- 名前付き
- ほぼ
- ネットワーク
- 新作
- ニュース
- NGOの
- 注意
- of
- 提供
- Office
- on
- 継続
- 開かれた
- 操作する
- 受注
- 組織
- その他
- ページ
- 部
- 過去
- 個人的な
- Personnel
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポーランド
- ポーランド語
- 投稿
- 潜在的な
- 電力
- 素数
- 首相
- 正しく
- 守る
- 提供します
- 公共
- Rage
- リーディング
- リアル
- 安心する
- 最近
- 推奨する
- 関連する
- レポート
- 報告
- ラン
- ロシア
- ロシア
- s
- 前記
- 言う
- 二番
- セキュリティ
- 見ること
- 選択
- サービス
- サービス
- セッションに
- 株式
- すべき
- 側
- から
- ウェブサイト
- SolarWinds
- 一部
- ソース
- ステージ
- 開始
- 文
- 米国
- 保存され
- それに続きます
- 成功
- 成功した
- 供給
- サプライチェーン
- サポート
- 支持する
- 驚き
- システム
- 取り
- ターゲット
- ターゲット
- チーム
- テクニック
- 伝える
- それ
- それら
- ボーマン
- 脅威
- 脅威アクター
- 三
- 全体
- 時間
- <font style="vertical-align: inherit;">回数</font>
- タイミング
- 〜へ
- 一緒に
- ツール
- 豊富なツール群
- トルドー
- Ukraine
- 組合
- us
- つかいます
- ユーティリティ
- 利用
- Ve
- 被害者
- バルカン
- 賃金
- 警告
- 見ている
- ウェブサイト
- ウェブサイト
- 週間
- WELL
- 西部の
- この試験は
- 何ですか
- which
- while
- 全体
- 無し
- 仕事
- 共に働く
- でしょう
- 書かれた
- 年
- 年
- You
- あなたの
- ゼファーネット