러시아와 연계된 위협 행위자들은 PysOps와 스피어 피싱 우크라이나에 잘못된 정보를 퍼뜨리고 유럽 전역에 Microsoft 2023 자격 증명을 훔치는 것을 목표로 하는 다단계 캠페인에서 365년 말에 몇 달에 걸쳐 사용자를 표적으로 삼았습니다.
텍슨토 작전(Operation Texonto)이라고 불리는 이 작전은 2023년 2023월~XNUMX월에 첫 번째, XNUMX년 XNUMX월~XNUMX월에 두 번째로 뚜렷하게 구분되는 두 차례에 걸쳐 진행되었다고 ESET의 연구원들이 밝혔습니다. 해당 캠페인은 다양한 파이솝 전술과 스팸 메일을 주요 배포 방식으로 활용했다고 밝혔다. 블로그 게시물에서 22월 XNUMX일 출판.
연대순으로 첫 번째 캠페인은 2023년 2023월 우크라이나 방산업체와 XNUMX년 XNUMX월 EU 기관을 표적으로 한 스피어 피싱 공격이었습니다. 두 번째 캠페인은 주로 난방 중단, 약물 부족, 식량 부족 — “러시아 선전 관련 캠페인의 전형적인 주제”라고 연구자들은 말했습니다.
목표는 서로 다르지만 둘 다 유사한 네트워크 인프라를 사용했으며 이것이 ESET이 둘을 연결한 방식이었습니다. 그런 다음 약간의 반전으로 Operation Texonto와 관련된 URL은 1월에 발생한 별도의 캠페인에서 전형적인 캐나다 약국 스팸을 보내는 것이었습니다.
러시아-우크라이나 하이브리드 전쟁
위협 캠페인은 다음과 같은 러시아 연계 위협 행위자들에 의해 사용되었습니다. 샌드위치 및 가마레돈 in 사이버 전쟁 우크라이나와는 동시에 실행 ESET에 따르면 2년간의 지상 운영으로 이루어졌습니다. 특히 샌드웜 중고 와이퍼 에 우크라이나 IT 인프라 중단 전쟁 초기에 Gamaredon은 최근 사이버 간첩 작전을 강화했습니다.
연구원들은 "텍슨토 작전은 전쟁에 영향을 미치기 위해 또 다른 기술을 사용하는 것을 보여줍니다."라고 연구원들은 게시물에 썼지만 이 작전을 특정 행위자의 소행으로 돌리지는 않았습니다. "우리는 몇 가지 전형적인 가짜 Microsoft 로그인 페이지를 발견했지만 가장 중요한 것은 우크라이나 시민에게 영향을 미치고 러시아가 승리할 것이라고 믿게 만들려는 이메일을 통해 두 차례의 파이솝이 있었다는 것입니다."
또한 Texonto 작전은 일반적인 악성 활동과 다른 주목할 만한 편차를 보여주었다고 조사를 주도한 ESET 연구원 Matthieu Faou는 Dark Reading에 보낸 이메일에서 밝혔습니다.
“Texonto 작전 사건에서 흥미로운 점은 동일한 위협 행위자가 허위 정보와 스피어 피싱 캠페인에 모두 관여하고 있으며 대부분의 위협 행위자는 둘 중 하나를 수행한다는 것입니다.”라고 그는 관찰합니다. “그러므로 누군가가 인터넷에 잘못된 정보를 게시하는 것이 아니라 계획된 싸이솝임이 분명합니다.”
또한 이 캠페인은 악성 메시지를 전달하기 위해 텔레그램이나 가짜 웹사이트와 같은 일반적인 채널을 사용하지 않는 움직임을 보여준다고 연구진은 지적했습니다.
두 개의 서로 다른 파도
이번 작전의 첫 징후는 지난 10월 우크라이나의 주요 방산업체에서 근무하는 직원들이 급여를 받았을 때 나타났습니다. 피싱 이메일 IT 부서에서 온 것으로 알려졌습니다. 메시지에는 사서함이 제거될 수 있으며 로그인하려면 웹 버전의 사서함에 대한 링크를 클릭하고 자격 증명을 사용하여 로그인해야 한다는 경고가 표시되었습니다.
대신 링크는 피싱 페이지로 연결되는데, ESET 연구원들은 VirusTotal에 제출된 작업에 속한 다른 도메인에서 이 페이지가 Microsoft 365 자격 증명을 훔치기 위한 가짜 Microsoft 로그인 페이지라고 추측했지만 피싱 페이지 자체는 검색할 수 없었습니다.
캠페인의 다음 물결은 첫 번째 파이솝(pysops) 작전이었습니다. 그릇된 정보 PDF 첨부 파일이 포함된 이메일을 우크라이나 정부 및 에너지 회사에서 일하는 최소 수백 명의 사람들과 개인 시민에게 보냅니다.
그러나 앞서 설명한 피싱 캠페인과 달리 이러한 이메일의 목적은 악의적인 링크를 퍼뜨리기보다는 우크라이나 사람들의 마음에 의심을 심기 위한 순전히 허위 정보로 보입니다.
캠페인에 포함된 이메일은 수신자에게 잠재적인 식량, 난방 및 약물 부족에 대해 알려주었으며, 심지어 한 사람은 "비둘기 리조또"를 먹으라고 제안하고 심지어 "해당 문서가 의도적으로 만들어졌음을 보여주는 살아있는 비둘기와 요리된 비둘기의 사진을 제공했습니다." 독자들을 화나게 하기 위해서다”라고 연구진은 지적했다.
“전반적으로 메시지는 일반적인 러시아 선전 주제와 일치합니다.”라고 그들은 썼습니다. “그들은 러시아-우크라이나 전쟁으로 인해 우크라이나 사람들에게 마약, 식량, 난방 시설이 공급되지 않을 것이라고 믿게 만들려고 노력하고 있습니다.”
두 번째 단계 파이솝 웨이브 12월에 발생하여 다른 유럽 국가로 확대되었으며, 우크라이나 정부에서 이탈리아 신발 제조업체에 이르기까지 수백 개의 대상이 무작위로 배열되었지만 여전히 우크라이나어로 작성되었습니다. 연구원들은 캠페인에서 우크라이나 사람들을 비난하고 낙담시키려는 또 다른 노력으로 그들에게 냉소적인 휴일 인사를 보내는 두 가지 다른 이메일 템플릿을 발견했습니다.
악성 도메인 및 방어 전술
연구원들은 Texonto 작전에 연루된 사이버 범죄자들을 따라잡기 위해 주로 도메인을 추적했으며, 이로 인해 사이버 범죄자들은 몇 가지 흥미로운 경로를 따라갔습니다. 그 중 하나는 공격자가 운영하는 이메일 서버를 사용하는 겉보기에는 관련이 없지만 전형적인 캐나다 약국 스팸 캠페인이었습니다. 이는 "러시아 사이버 범죄 커뮤니티에서 매우 인기가 있었던 불법 사업 범주"라고 그들은 말했습니다.
이 캠페인과 관련된 다른 도메인 이름은 16월 XNUMX일 감옥에서 사망한 유명한 러시아 야당 지도자 알렉세이 나발니(Alexei Navalny)의 사망과 같은 최근의 사건을 반영했습니다. navalny-votes[.]net, navalny-votesmart[.]net 및 navalny-voting[.]net을 포함한 이러한 도메인의 존재는 "Texonto 작전에 러시아 반체제 인사를 표적으로 하는 스피어 피싱 또는 정보 작전이 포함될 가능성이 있음을 의미합니다." 연구원들은 썼다.
ESET은 보고서에 도메인, 이메일 주소, MITRE ATT&CK 기술을 포함한 다양한 IOC(침해 지표)를 포함했습니다. 연구원들은 또한 조직이 강력한 기능을 활성화할 것을 권장합니다. 이중 인증 Faou는 Office 365를 대상으로 하는 스피어 피싱 공격을 방어하기 위해 전화 인증 앱이나 물리적 키와 같은 기능을 사용한다고 말했습니다.
악의적인 행위자가 온라인에 허위 정보를 퍼뜨리려는 시도를 방어하는 것과 관련하여 "가장 좋은 보호는 우리의 비판적 사고방식을 사용하고 인터넷의 어떤 정보도 신뢰하지 않는 것"이라고 덧붙였습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- :있다
- :이다
- :아니
- $UP
- 16
- 2023
- 22
- 7
- a
- 할 수 있는
- 에 따르면
- 가로질러
- 활동
- 배우
- 구애
- 추가
- 반대
- 정부 기관
- 겨냥한
- 목표
- 일직선으로하다
- 또한
- an
- 및
- 다른
- 어떤
- 앱
- 등장
- 있군요
- 배열
- AS
- 관련
- At
- 공격
- 공격
- 시도
- 떨어져
- BE
- 때문에
- 된
- 믿으세요
- 귀속
- BEST
- 비트
- 블로그
- 두
- 사업
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 온
- 운동
- 캠페인
- 캐나다의
- 케이스
- 범주
- 채널
- 시민
- 선명한
- 클릭
- 공통의
- 커뮤니티
- 기업
- 회사
- 타협
- 조리
- 국가
- 만든
- 신임장
- 임계
- Current
- 사이버
- 사이버 범죄
- 사이버 범죄자
- 어두운
- 어두운 독서
- 죽음
- XNUMX월
- 방어
- 방위산업
- 보여줍니다
- 학과
- 기술 된
- DID
- 사망
- 다른
- 발견
- 그릇된 정보
- 얕보다
- 뚜렷한
- 분포
- 몇몇의
- do
- 서류
- 도메인
- 도메인 이름
- 도메인
- 의심
- 아래 (down)
- 마약
- 약물
- 더빙 된
- 초기의
- 먹다
- 노력
- 이메일
- 이메일
- 고용 된
- 직원
- 가능
- end
- 에너지
- 종사하는
- 스파이 활동
- EU
- 유럽
- 유럽
- 유럽 국가
- 조차
- 이벤트
- 존재
- 확대하는
- 모조품
- 멀리
- 2월
- 를
- 먼저,
- 집중
- 식품
- 럭셔리
- 발견
- 에
- 골
- 가는
- Government
- 사무총장 인사말
- 육로
- 했다
- 있다
- he
- 휴일
- 방법
- 그러나
- HTTPS
- 백
- 잡종
- 불법
- 중요하게
- in
- 포함
- 포함
- 포함
- 표시
- 개인
- 영향
- 정보
- 정보
- 인프라
- 를 받아야 하는 미국 여행자
- 흥미있는
- 인터넷
- 조사
- 참여
- IT
- 이탈리아 사람
- 그
- 그 자체
- 일월
- 다만
- 유지
- 키
- 시작
- 리드
- 리더
- 오퍼
- 가장 작은
- 지도
- LINK
- 연결
- 모래밭
- 생활
- 기록
- 로그인
- 본관
- 주로
- 주요한
- 확인
- 악의있는
- 제조업 자
- XNUMX월..
- 방법
- 메시지
- 메시지
- 방법
- Microsoft
- 신경
- 사고 (思考)
- 오보
- 개월
- 배우기
- 가장
- 움직임
- 절대로 필요한 것
- 이름
- 네트워크
- 다음 것
- 주목할 만한
- 특히
- 유명한
- 노트
- 십일월
- 관찰
- 발생
- 십월
- of
- Office
- on
- ONE
- 온라인
- 운영
- 조작
- 행정부
- 반대
- or
- 주문
- 조직
- 기타
- 우리의
- 위에
- 전체
- 페이지
- 페이지
- 경로
- 사람들
- 상
- 피싱
- 피싱 캠페인
- 전화
- 사진
- 물리적
- 계획
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 음모
- 인기 문서
- 게시하다
- 가능성
- 이전에
- 감옥
- 아마
- 선전
- 보호
- 제공
- 전혀
- 닥치는대로의
- 범위
- 이르기까지
- 차라리
- 독자들
- 읽기
- 접수
- 최근
- 최근에
- 수령인
- 권하다
- 반영
- 관련
- 제거됨
- 신고
- 연구원
- 연구원
- 공개
- 러시아
- 러시아-우크라이나 전쟁
- 러시아인
- s
- 말했다
- 같은
- 라고
- 둘째
- 겉으로는
- 보내다
- 전송
- 별도의
- 섬기는 사람
- 몇몇의
- 부족
- 쇼
- 기호
- 비슷한
- So
- 지금까지
- 일부
- 어떤 사람
- 암퇘지
- 스팸
- 구체적인
- 후원
- 전파
- 복음
- 아직도
- 강한
- 제출
- 이러한
- 제안
- 전술
- 목표
- 대상
- 대상
- 목표
- 기법
- 기술
- 텔레그램
- 템플릿
- 보다
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 테마
- 그때
- 그곳에.
- Bowman의
- 그들
- 그
- 그래도?
- 위협
- 위협 행위자
- 에
- 이상의 주제
- 믿어
- 시도
- 노력
- 트위스트
- 두
- 전형적인
- 우크라이나
- 우크라이나 말
- 우크라이나
- URL
- 사용
- 익숙한
- 사용자
- 사용
- 버전
- 대단히
- 를 통해
- 전쟁
- 경고
- 였다
- 웨이브
- 파도
- we
- 웹
- 웹 사이트
- 잘
- 잘 알려진
- 했다
- 있었다
- 뭐
- 언제
- 어느
- 동안
- 누구
- 의지
- 승리
- 과
- 이내
- 원
- 일하는
- 쓴
- 쓴
- 아직
- 제퍼 넷