Aan Rusland gelinkte dreigingsactoren maakten gebruik van zowel PysOps als speervissen om eind 2023 gebruikers gedurende meerdere maanden te targeten in een multi-wave campagne gericht op het verspreiden van desinformatie in Oekraรฏne en het stelen van Microsoft 365-inloggegevens in heel Europa.
De operatie โ genaamd Operatie Texonto โ kwam in twee verschillende golven, de eerste in oktober-november 2023 en de tweede in november-december 2023, ontdekten onderzoekers van ESET. De campagne maakte gebruik van een breed scala aan pysop-tactieken en spammails als belangrijkste distributiemethode, onthulden ze in een blog post gepubliceerd op 22 februari.
Chronologisch gezien was de eerste campagne een spearphishing-aanval die zich in oktober 2023 richtte op een Oekraรฏens defensiebedrijf en in november 2023 op een EU-agentschap. De tweede was een desinformatiecampagne die zich voornamelijk richtte op Oekraรฏense doelen, waarbij onderwerpen werden gebruikt die verband hielden met verwarmingsonderbrekingen, medicijntekorten en voedseltekorten โ โtypische themaโs van de Russische propaganda-gerelateerde campagneโ, aldus de onderzoekers.
Hoewel ze verschillende doelen hadden, gebruikten ze allebei een vergelijkbare netwerkinfrastructuur, en zo koppelde ESET de twee. Vervolgens, in een beetje een plotwending, was een URL die verband hield met Operatie Texonto bedoeld om typische Canadese apotheekspam te verzenden in een aparte campagne die in januari plaatsvond.
Hybride oorlog tussen Rusland en Oekraรฏne
Bedreigingscampagnes zijn ingezet door aan Rusland verbonden dreigingsactoren zoals sandworm en Gamaredon in een cyberoorlog met Oekraรฏne dus gelijktijdig lopen met de twee jaar durende grondoperatie, aldus ESET. Met name zandworm gebruikte ruitenwissers naar verstoren de Oekraรฏense IT-infrastructuur vroeg in de oorlog, terwijl Gamaredon onlangs de cyberspionageoperaties heeft opgevoerd.
โOperatie Texonto laat opnieuw een gebruik van technologieรซn zien om de oorlog te beรฏnvloedenโ, schreven de onderzoekers in de post, hoewel ze de operatie niet aan een specifieke actor toeschreven. โWe hebben een paar typische valse Microsoft-inlogpaginaโs gevonden, maar het allerbelangrijkste: er waren twee golven van pysops via e-mails, waarschijnlijk om te proberen Oekraรฏense burgers te beรฏnvloeden en hen te laten geloven dat Rusland zal winnen.โ
Operatie Texonto toont ook andere opmerkelijke afwijkingen aan van typische kwaadaardige activiteiten, merkt Matthieu Faou, de ESET-onderzoeker die het onderzoek leidde, op in een e-mail aan Dark Reading.
โWat interessant is in de zaak Operatie Texonto is dat dezelfde dreigingsactoren zowel betrokken zijn bij desinformatie als bij spearphishing-campagnes, terwijl de meeste dreigingsactoren het een of het ander doenโ, merkt hij op. โAls zodanig is het duidelijk dat het een geplande pysop is en niet zomaar iemand die verkeerde informatie op internet plaatst.โ
De campagne laat ook zien dat er afstand wordt genomen van het gebruik van gewone kanalen zoals Telegram of nepwebsites om de kwaadaardige boodschappen over te brengen, merkten de onderzoekers op.
Twee verschillende golven
Het eerste teken van de operatie kwam in oktober toen werknemers van een groot Oekraรฏens defensiebedrijf een phishing-e-mail zogenaamd van de IT-afdeling. Het bericht waarschuwde dat hun mailbox mogelijk wordt verwijderd en dat ze, om in te loggen, op een link naar een webversie van de mailbox moeten klikken en inloggen met hun inloggegevens.
De link leidt in plaats daarvan naar een phishingpagina. ESET-onderzoekers vermoedden dat het een valse Microsoft-inlogpagina was om Microsoft 365-inloggegevens te stelen, hoewel ze niet in staat waren de phishingpagina zelf op te halen.
De volgende golf van de campagne was de eerste pysops-operatie, die stuurde disinformatie e-mails met een pdf-bijlage aan minstens een paar honderd mensen die voor de Oekraรฏense overheid en energiebedrijven werken, maar ook aan individuele burgers.
In tegenstelling tot de eerder beschreven phishing-campagne leek het doel van deze e-mails echter puur desinformatie te zijn om twijfel te zaaien in de hoofden van de Oekraรฏners, in plaats van kwaadaardige links te verspreiden.
E-mails in de campagne informeerden de ontvangers over mogelijke tekorten aan voedsel, verwarming en medicijnen, waarbij รฉรฉn zo ver ging om te suggereren dat ze โduivenrisottoโ aten en zelfs fotoโs verstrekte van een levende duif en een gekookte duif die โaantoont dat deze documenten met opzet zijn gemaakt. om de lezers op te hitsenโ, merkten de onderzoekers op.
โOver het algemeen sluiten de berichten aan bij gemeenschappelijke Russische propagandathemaโsโ, schreven ze. โZe proberen het Oekraรฏense volk te laten geloven dat ze geen medicijnen, voedsel en verwarming zullen hebben vanwege de oorlog tussen Rusland en Oekraรฏne.โ
De tweede fase van de pysops golf vond plaats in december en breidde zich uit naar andere Europese landen, met een willekeurige reeks van een paar honderd doelwitten, variรซrend van de Oekraรฏense regering tot een Italiaanse schoenenfabrikant, maar nog steeds geschreven in het Oekraรฏens. De onderzoekers ontdekten in de campagne twee verschillende e-mailsjablonen die sarcastische vakantiegroeten naar Oekraรฏners stuurden in een andere poging hen in diskrediet te brengen en te ontmoedigen.
Schadelijke domeinen en verdedigingstactieken
De onderzoekers volgden voornamelijk domeinen om op de hoogte te blijven van de cybercriminelen die betrokken waren bij Operatie Texonto, wat hen op een aantal interessante paden leidde. Eรฉn daarvan was een ogenschijnlijk niet-gerelateerde, maar typisch Canadese spamcampagne voor apotheken, waarbij gebruik werd gemaakt van een e-mailserver die door de aanvallers werd beheerd, een โcategorie van illegale zaken [die] erg populair is geweest binnen de Russische cybercriminaliteitsgemeenschapโ, zeiden ze.
Andere domeinnamen die verband hielden met de campagne weerspiegelden recentere actuele gebeurtenissen, zoals de dood van Alexei Navalny, de bekende Russische oppositieleider die op 16 februari in de gevangenis stierf. Het bestaan โโvan deze domeinen โ waaronder navalny-votes[.]net, navalny-votesmart[.]net en navalny-voting[.]net โ โbetekent dat Operatie Texonto waarschijnlijk spear-phishing of informatieoperaties omvat die gericht zijn op Russische dissidenten,โ schreven de onderzoekers.
ESET heeft in hun rapport een reeks indicatoren van compromissen (IOC's) opgenomen, waaronder domeinen, e-mailadressen en MITRE ATT&CK-technieken. De onderzoekers bevelen ook aan dat organisaties sterk zijn two-factor authenticatie โ zoals een telefoonverificatie-app of een fysieke sleutel โ ter verdediging tegen spearphishing-aanvallen gericht op Office 365, zegt Faou.
Wat betreft de verdediging tegen pogingen van kwaadwillende actoren om desinformatie online te verspreiden, โis de beste bescherming het gebruik van onze kritische instelling en het niet vertrouwen op informatie op internetโ, voegt hij eraan toe.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- : heeft
- :is
- :niet
- $UP
- 16
- 2023
- 22
- 7
- a
- in staat
- Volgens
- over
- activiteit
- actoren
- adressen
- Voegt
- tegen
- agentschap
- Gericht
- wil
- richten
- ook
- an
- en
- Nog een
- elke
- gebruiken
- verscheen
- ZIJN
- reeks
- AS
- geassocieerd
- At
- aanvallen
- Aanvallen
- pogingen
- weg
- BE
- omdat
- geweest
- geloofd wie en wat je bent
- behorende
- BEST
- Beetje
- Blog
- zowel
- bedrijfsdeskundigen
- maar
- by
- kwam
- Campagne
- Campagnes
- Canadees
- geval
- Categorie
- kanalen
- burgers
- duidelijk
- Klik
- Gemeen
- gemeenschap
- Bedrijven
- afstand
- compromis
- gekookt
- landen
- aangemaakt
- Geloofsbrieven
- kritisch
- Actueel
- cyber
- cybercrime
- cybercriminelen
- Donker
- Donkere lezing
- Dood
- December
- Verdedigen
- Verdediging
- demonstreert
- afdeling
- beschreven
- DEED
- gestorven
- anders
- ontdekt
- disinformatie
- minachting
- onderscheiden
- distributie
- diversen
- do
- documenten
- domein
- DOMEINNAMEN
- domeinen
- twijfelen
- beneden
- drug
- Drugs
- nagesynchroniseerde
- Vroeg
- eten
- inspanning
- e-mails
- loondienst
- medewerkers
- in staat stellen
- einde
- energie-niveau
- bezig
- spionage
- EU
- Europa
- Nederlands
- Europese Landen
- Zelfs
- EVENTS
- bestaan
- uitgebreid
- nep
- ver
- Feb
- weinig
- Voornaam*
- gericht
- eten
- Voor
- gevonden
- oppompen van
- doel
- gaan
- Overheid
- Groeten
- Ground
- HAD
- Hebben
- he
- vakantie
- Hoe
- Echter
- HTTPS
- honderd
- Hybride
- Onwettig
- belangrijker
- in
- inclusief
- omvat
- Inclusief
- indicatoren
- individueel
- beรฏnvloeden
- informatie
- op de hoogte
- Infrastructuur
- verkrijgen in plaats daarvan
- interessant
- Internet
- onderzoek
- betrokken zijn
- IT
- Italiaans
- HAAR
- zelf
- Januari
- voor slechts
- Houden
- sleutel
- lancering
- leiden
- leider
- Leads
- minst
- LED
- LINK
- gekoppeld
- links
- leven
- inloggen
- Log in
- Hoofd
- voornamelijk
- groot
- maken
- kwaadaardig
- Fabrikant
- Mei..
- middel
- Bericht
- berichten
- methode
- Microsoft
- denken
- Mindset
- Desinformatie
- maanden
- meer
- meest
- beweging
- Dan moet je
- namen
- netwerk
- volgende
- opvallend
- in het bijzonder
- bekend
- Opmerkingen
- November
- merkt op
- opgetreden
- oktober
- of
- Kantoor
- on
- EEN
- online.
- bediend
- operatie
- Operations
- oppositie
- or
- bestellen
- organisaties
- Overige
- onze
- over
- totaal
- pagina
- paginas
- paden
- Mensen
- fase
- Phishing
- phishing-campagne
- phone
- Foto's
- Fysiek
- gepland
- Plato
- Plato gegevensintelligentie
- PlatoData
- perceel
- Populair
- Post
- potentieel
- die eerder
- gevangenis
- waarschijnlijk
- propaganda
- bescherming
- het verstrekken van
- puur
- willekeurige
- reeks
- variรซrend
- liever
- lezers
- lezing
- ontvangen
- recent
- onlangs
- ontvangers
- adviseren
- weerspiegeld
- verwant
- verwijderd
- verslag
- onderzoeker
- onderzoekers
- Revealed
- Rusland
- Oorlog tussen Rusland en Oekraรฏne
- Russisch
- s
- Zei
- dezelfde
- zegt
- Tweede
- schijnbaar
- sturen
- verzonden
- apart
- server
- verscheidene
- tekorten
- Shows
- teken
- gelijk
- So
- dusver
- sommige
- Iemand
- zeug
- spam
- specifiek
- Gesponsorde
- verspreiden
- verspreiding
- Still
- sterke
- ingediend
- dergelijk
- stel
- tactiek
- doelwit
- doelgerichte
- targeting
- doelen
- technieken
- Technologies
- Telegram
- templates
- neem contact
- dat
- De
- hun
- Ze
- thema's
- harte
- Er.
- Deze
- ze
- die
- toch?
- bedreiging
- bedreigingsactoren
- naar
- onderwerpen
- Trust
- proberen
- proberen
- twist
- twee
- typisch
- Oekraรฏne
- Oekraรฏens
- Oekraรฏners
- URL
- .
- gebruikt
- gebruikers
- gebruik
- versie
- zeer
- via
- oorlog
- waarschuwde
- was
- Wave
- golven
- we
- web
- websites
- GOED
- bekend
- waren
- waren
- Wat
- Wat is
- wanneer
- welke
- en
- WIE
- wil
- winnen
- Met
- binnen
- Won
- werkzaam
- geschreven
- schreef
- nog
- zephyrnet