SolarWindsの攻撃者がBMWをぶら下げて外交官をスパイ

悪名高いソーラーウィンズ攻撃の背後にあるロシアが支援するグループは、悪意のあるリンクをクリックさせるために通常使用される従来の政治的行為よりももう少し個人的な誘惑を使って、ウクライナの大使館に勤務する「驚くべき数」の外交官をターゲットにしている。

パロアルトネットワークスのユニット 42 の研究者はこのグループを観察し、次のように追跡しています。 マントを着たウルサ しかし、これは Nobelium/APT29 としてよく知られており、移動するための乗り物です。

このキャンペーンの最初の誘いは、ポーランド外務省の外交官によってさまざまな大使館に広められた、キエフでの中古 BMW セダンの販売に関する正規のチラシを使用したものであるように見えました。 それはかなり無害であるように見えるが、特にウクライナのような戦争で荒廃した地域において、信頼できる外交官から信頼できる車を販売することは、間違いなくこの現場に新しく到着した人の注意を引く可能性があると研究者らは指摘した。

Cloaked Ursa はこれをチャンスと捉え、チラシを再利用して独自の違法チラシを作成し、XNUMX 週間後にマルウェア キャンペーンの餌として複数の在外公館に送りました。 このグループはメッセージに悪意のあるリンクを含め、ターゲットがそこにある車の写真をさらに見つけることができると述べた。 被害者がリンクをクリックすると、選択した画像が被害者の画面に表示されている間、バックグラウンドでマルウェアが静かに実行されるため、写真だけではありません。

このキャンペーンのペイロードは JavaScript ベースのマルウェアで、攻撃者に被害者のシステムへのスパイ活動に備えたバックドアを提供し、コマンド アンド コントロール (C2) 接続を通じてさらに悪意のあるコードを読み込む機能を提供します。

高度持続的脅威 (APT) は、ターゲット リストを作成するための計画性を示し、標的の被害者の約 80% には公開されている大使館の電子メール アドレスを使用し、残りの 20% には表面 Web 上で見つからない未公開の電子メール アドレスを使用しました。 Unit 42 によれば、これはおそらく「目的のネットワークへのアクセスを最大限にするため」だったそうです。

研究者らは、Cloaked Ursaがウクライナ国内の外国使節団22カ所のうち80カ所に対して作戦を展開しているのを観察したが、実際の標的数はさらに多い可能性が高いとしている。

42部隊によると、「これは、一般的に範囲が狭く秘密のAPT作戦の範囲においては驚異的だ」とのことだ。

マルウェアのサイバー戦術の変化

これは、仕事に関連した主題を餌として使うことからの戦略的転換であると研究者らが明らかにした。 ブログ投稿 今週公開されました。

「これらの型破りな誘惑は、受信者が日常業務の一環としてではなく、自分自身のニーズや欲求に基づいて添付ファイルを開かせるように設計されている」と研究者らは書いている。

おびき寄せる戦術のこの変化は、最初のターゲットだけでなく同じ組織内の他のターゲットも侵害するキャンペーンの成功要因を高め、それによって範囲を拡大するための動きである可能性があると研究者らは示唆した。

「おとり自体は外交界全体で広く適用できるため、より多くの標的に送信および転送することができる」と彼らは投稿で書いている。 「また、外交コミュニティ内だけでなく、組織内の他の人にも転送される可能性が高くなります。」

Cloaked Ursa/Nobelium/APT29 は、ロシア対外情報局 (SVR) に関連する国家支援グループで、おそらく最もよく知られているのは、 SolarWindsの攻撃この問題は、2020 年 18,000 月に発見されたバックドアから始まり、感染したソフトウェア アップデートを介して約 XNUMX の組織に広がり、今でもソフトウェア サプライ チェーン全体に影響を及ぼしています。

それ以来、グループは一貫して活動を続けており、一連の活動を行っています。 攻撃 それはロシアの全体的な地政学的立場と一致している。 さまざまな外務省や外交官、そして米国政府。 複数のインシデントに共通するのは、 戦術とカスタムマルウェア開発の両方における洗練.

Unit 42 は、攻撃のターゲットを含む Cloaked Ursa の他の既知のキャンペーンとの類似点や、同グループの他の既知のマルウェアとのコードの重複を指摘しました。

市民社会に対する APT サイバー攻撃を軽減する

研究者らは、外交使節団の人々に対し、Cloaked UrsaのようなAPTによる高度かつ巧妙な攻撃の餌食にならないよう、いくつかのアドバイスを提供した。 XNUMX つは、管理者が新しく任命された外交官に対し、到着前にその地域のサイバーセキュリティの脅威について研修することです。

一般に、政府または企業の従業員は、一見無害または正当なサイトからであっても、ダウンロードには常に注意する必要があります。また、URL 短縮サービスを使用する場合は、URL リダイレクトがフィッシング攻撃の特徴となる可能性があるため、特に注意して URL リダイレクトを観察する必要があります。

また、フィッシングの被害に遭わないように、電子メールの添付ファイルにも細心の注意を払う必要があると研究者らは述べている。 ファイル拡張子の種類を検証して、開こうとしているファイルが目的のものであることを確認し、拡張子が一致しないファイルやファイルの性質を難読化しようとするファイルを避ける必要があります。

最後に研究者らは、外交職員は原則としてJavaScriptを無効にするよう提案した。JavaScriptを無効にすると、プログラミング言語をベースにしたマルウェアは実行できなくなる。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats