悪名高いソーラーウィンズ攻撃の背後にあるロシアが支援するグループは、悪意のあるリンクをクリックさせるために通常使用される従来の政治的行為よりももう少し個人的な誘惑を使って、ウクライナの大使館に勤務する「驚くべき数」の外交官をターゲットにしている。
パロアルトネットワークスのユニット 42 の研究者はこのグループを観察し、次のように追跡しています。 マントを着たウルサ しかし、これは Nobelium/APT29 としてよく知られており、移動するための乗り物です。
このキャンペーンの最初の誘いは、ポーランド外務省の外交官によってさまざまな大使館に広められた、キエフでの中古 BMW セダンの販売に関する正規のチラシを使用したものであるように見えました。 それはかなり無害であるように見えるが、特にウクライナのような戦争で荒廃した地域において、信頼できる外交官から信頼できる車を販売することは、間違いなくこの現場に新しく到着した人の注意を引く可能性があると研究者らは指摘した。
Cloaked Ursa はこれをチャンスと捉え、チラシを再利用して独自の違法チラシを作成し、XNUMX 週間後にマルウェア キャンペーンの餌として複数の在外公館に送りました。 このグループはメッセージに悪意のあるリンクを含め、ターゲットがそこにある車の写真をさらに見つけることができると述べた。 被害者がリンクをクリックすると、選択した画像が被害者の画面に表示されている間、バックグラウンドでマルウェアが静かに実行されるため、写真だけではありません。
このキャンペーンのペイロードは JavaScript ベースのマルウェアで、攻撃者に被害者のシステムへのスパイ活動に備えたバックドアを提供し、コマンド アンド コントロール (C2) 接続を通じてさらに悪意のあるコードを読み込む機能を提供します。
高度持続的脅威 (APT) は、ターゲット リストを作成するための計画性を示し、標的の被害者の約 80% には公開されている大使館の電子メール アドレスを使用し、残りの 20% には表面 Web 上で見つからない未公開の電子メール アドレスを使用しました。 Unit 42 によれば、これはおそらく「目的のネットワークへのアクセスを最大限にするため」だったそうです。
研究者らは、Cloaked Ursaがウクライナ国内の外国使節団22カ所のうち80カ所に対して作戦を展開しているのを観察したが、実際の標的数はさらに多い可能性が高いとしている。
42部隊によると、「これは、一般的に範囲が狭く秘密のAPT作戦の範囲においては驚異的だ」とのことだ。
マルウェアのサイバー戦術の変化
これは、仕事に関連した主題を餌として使うことからの戦略的転換であると研究者らが明らかにした。 ブログ投稿 今週公開されました。
「これらの型破りな誘惑は、受信者が日常業務の一環としてではなく、自分自身のニーズや欲求に基づいて添付ファイルを開かせるように設計されている」と研究者らは書いている。
おびき寄せる戦術のこの変化は、最初のターゲットだけでなく同じ組織内の他のターゲットも侵害するキャンペーンの成功要因を高め、それによって範囲を拡大するための動きである可能性があると研究者らは示唆した。
「おとり自体は外交界全体で広く適用できるため、より多くの標的に送信および転送することができる」と彼らは投稿で書いている。 「また、外交コミュニティ内だけでなく、組織内の他の人にも転送される可能性が高くなります。」
Cloaked Ursa/Nobelium/APT29 は、ロシア対外情報局 (SVR) に関連する国家支援グループで、おそらく最もよく知られているのは、 SolarWindsの攻撃この問題は、2020 年 18,000 月に発見されたバックドアから始まり、感染したソフトウェア アップデートを介して約 XNUMX の組織に広がり、今でもソフトウェア サプライ チェーン全体に影響を及ぼしています。
それ以来、グループは一貫して活動を続けており、一連の活動を行っています。 攻撃 それはロシアの全体的な地政学的立場と一致している。 さまざまな外務省や外交官、そして米国政府。 複数のインシデントに共通するのは、 戦術とカスタムマルウェア開発の両方における洗練.
Unit 42 は、攻撃のターゲットを含む Cloaked Ursa の他の既知のキャンペーンとの類似点や、同グループの他の既知のマルウェアとのコードの重複を指摘しました。
市民社会に対する APT サイバー攻撃を軽減する
研究者らは、外交使節団の人々に対し、Cloaked UrsaのようなAPTによる高度かつ巧妙な攻撃の餌食にならないよう、いくつかのアドバイスを提供した。 XNUMX つは、管理者が新しく任命された外交官に対し、到着前にその地域のサイバーセキュリティの脅威について研修することです。
一般に、政府または企業の従業員は、一見無害または正当なサイトからであっても、ダウンロードには常に注意する必要があります。また、URL 短縮サービスを使用する場合は、URL リダイレクトがフィッシング攻撃の特徴となる可能性があるため、特に注意して URL リダイレクトを観察する必要があります。
また、フィッシングの被害に遭わないように、電子メールの添付ファイルにも細心の注意を払う必要があると研究者らは述べている。 ファイル拡張子の種類を検証して、開こうとしているファイルが目的のものであることを確認し、拡張子が一致しないファイルやファイルの性質を難読化しようとするファイルを避ける必要があります。
最後に研究者らは、外交職員は原則としてJavaScriptを無効にするよう提案した。JavaScriptを無効にすると、プログラミング言語をベースにしたマルウェアは実行できなくなる。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats
- :持っている
- :は
- :not
- 000
- 2020
- 22
- 7
- 80
- a
- 能力
- できる
- 私たちについて
- アクセス
- 従った
- 越えて
- アクティブ
- 実際の
- アドレス
- 管理者
- 高度な
- アドバイス
- 業務
- に対して
- 整列する
- また
- 常に
- an
- および
- どれか
- 登場
- 適用可能な
- APT
- です
- AREA
- 周りに
- 到着
- AS
- 割り当てられた
- 関連する
- At
- 攻撃
- 攻撃
- 注意
- 利用できます
- 避ける
- 回避
- 裏口
- 背景
- 餌
- ベース
- BE
- 背後に
- さ
- BEST
- より良いです
- ビット
- ブログ
- BMW
- 両言語で
- 広く
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- キャンペーン
- キャンペーン
- 缶
- 自動車
- 用心深い
- チェーン
- 変化する
- クリック
- 閉じる
- コード
- コマンドと
- コミュニティ
- 妥協
- 接続
- 企業
- 可能性
- 作ります
- カスタム
- サイバー
- サイバー攻撃
- サイバーセキュリティ
- 12月
- 絶対に
- 設計
- 希望
- 外交官
- 発見
- ディスプレイ
- ドン
- ダウンロード
- ドロー
- メール
- 社員
- 確保
- 特に
- さらに
- 実行します
- 実行する
- 延伸
- エクステンション
- 余分な
- 要因
- かなり
- 落下
- File
- もう完成させ、ワークスペースに掲示しましたか?
- 外国の
- 発見
- から
- さらに
- 一般に
- 生成する
- 地政学的
- 取得する
- 与える
- 政府・公共機関
- 大きい
- グループ
- 持って
- より高い
- HTTPS
- if
- 画像
- 影響
- in
- 含まれました
- 含めて
- 増える
- 悪名高いです
- 初期
- 無邪気な
- 内部
- を取得する必要がある者
- インテリジェンス
- に
- IT
- ITS
- JavaScriptを
- Jobs > Create New Job
- JPG
- ただ
- 既知の
- 言語
- 後で
- 正当な
- ような
- 可能性が高い
- LINK
- リンク
- リスト
- 負荷
- マルウェア
- 一致
- 問題
- 最大化します
- メッセージ
- 省
- ミッション
- 他には?
- の試合に
- 自然
- ニーズ
- ネットワーク
- 新作
- 新しく
- 通常は
- 注意
- 数
- 観察する
- of
- 提供
- on
- ONE
- の
- 開いた
- 開設
- 業務執行統括
- 機会
- or
- 組織
- 組織
- その他
- その他
- 全体
- 自分の
- パロアルト
- 部
- 支払う
- のワークプ
- おそらく
- 個人的な
- フィッシング詐欺
- フィッシング攻撃
- 写真
- 枢軸
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポーランド語
- 政治的
- ポスト
- 事前の
- プログラミング
- 公然と
- 公表
- リーチ
- 地域
- 関連する
- 信頼性のある
- 残った
- 研究者
- 明らかに
- ルール
- ロシア
- s
- 前記
- 塩
- 同じ
- 格言
- シーン
- スコープ
- 画面
- 一見
- と思われる
- 選択
- 送信
- シリーズ
- サービス
- サービス
- すべき
- 示されました
- 類似
- から
- サイト
- ソフトウェア
- SolarWinds
- 一部
- 何か
- 洗練された
- 広がる
- 開始
- まだ
- 戦略的
- テーマ
- 成功
- 供給
- サプライチェーン
- 表面
- 戦術
- 取る
- ターゲット
- 対象となります
- ターゲット
- ターゲット
- より
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- その後
- そこ。
- ボーマン
- 彼ら
- この
- 今週
- 脅威
- 脅威
- 介して
- 〜へ
- 追跡する
- 伝統的な
- トレーニング
- 信頼されている
- 2
- Ukraine
- できません
- 型破りな
- 単位
- 更新版
- URL
- us
- 私たち政府
- つかいます
- 中古
- さまざまな
- 自動車
- 確認する
- 、
- 被害者
- 犠牲者
- 欲しいです
- 望んでいる
- ました
- ウェブ
- 週間
- ウィークス
- WELL
- この試験は
- いつ
- which
- while
- 以内
- ワーキング
- でしょう
- 書いた
- ゼファーネット