Als onderdeel van de voortdurende invasie van Oekraïne heeft de Russische inlichtingendienst opnieuw de hulp ingeroepen van hackergroep Nobelium/APT29, dit keer om ministeries van Buitenlandse Zaken en diplomaten uit NAVO-lidstaten te bespioneren, evenals andere doelen in de Europese Unie en Afrika .
De timing sluit ook aan bij een golf van aanvallen op Canadese infrastructuur, waarvan ook wordt aangenomen dat deze verband houdt met Rusland.
De Poolse militaire contraspionagedienst en het CERT-team in Polen hebben op 13 april een waarschuwing afgegeven, samen met indicatoren van een compromis, en waarschuwden potentiële doelen van de spionagecampagne over de dreiging. Nobelium, zoals de groep wordt aangeduid door Microsoft, ook wel genoemd APT29 van Mandiant, is niet nieuw in het spionagespel van de natiestaat, de groep zat achter de beruchte SolarWinds supply chain-aanval bijna drie jaar geleden.
Nu is APT29 terug met een geheel nieuwe set malware-tools en gerapporteerde marsorders om het diplomatieke korps van landen die Oekraïne steunen te infiltreren, aldus het Poolse leger en CERT-waarschuwing.
APT29 is terug met nieuwe bestellingen
In alle gevallen begint de Advanced Persistent Threat (APT) zijn aanval met een goed doordachte spear-phishing-e-mail, volgens de Poolse waarschuwing.
"E-mails die zich voordeden als ambassades van Europese landen werden verzonden naar geselecteerd personeel op diplomatieke posten", legden de autoriteiten uit. “De correspondentie bevatte een uitnodiging voor een vergadering of om samen aan documenten te werken.”
Het bericht zou de ontvanger dan doorverwijzen om op een link te klikken of een pdf te downloaden om toegang te krijgen tot de agenda van de ambassadeur, of om details van de vergadering op te halen. "Afgunstverkenner."
"TheHet maakt gebruik van de HTML-smokkeltechniek, waarbij een kwaadaardig bestand dat op de pagina wordt geplaatst, wordt gedecodeerd met behulp van JavaScript wanneer de pagina wordt geopend en vervolgens wordt gedownload op het apparaat van het slachtoffer”, voegden de Poolse autoriteiten eraan toe. "Hierdoor wordt het schadelijke bestand moeilijker te detecteren aan de serverzijde waar het is opgeslagen."
De kwaadwillende site stuurt de doelwitten ook een bericht om hen te verzekeren dat ze het juiste bestand hebben gedownload, aldus de waarschuwing.
"Spear-phishing-aanvallen zijn succesvol wanneer de communicatie goed geschreven is, persoonlijke informatie gebruikt om bekendheid met het doelwit aan te tonen en afkomstig lijkt te zijn van een legitieme bron", vertelt Patrick Harr, CEO van SlashNext, aan Dark Reading over de campagne. "Deze spionagecampagne voldoet aan alle criteria voor succes."
One phishing-e-mail, bijvoorbeeld, deed zich voor als de Poolse ambassade, en, interessant genoeg, werd de Envyscout-tool in de loop van de geobserveerde campagne drie keer aangepast met verduisteringsverbeteringen, merkten de Poolse autoriteiten op.
Eenmaal gecompromitteerd, gebruikt de groep gewijzigde versies van de Snowyamber-downloader, Halfrig, die wordt uitgevoerd Kobaltaanval als embedded code, en Quarterrig, die code deelt met Halfrig, aldus de Poolse waarschuwing.
"We zien een toename van dit soort aanvallen waarbij de kwaadwillende meerdere fasen in een campagne gebruikt om het succes aan te passen en te verbeteren", voegt Harr toe. "Ze gebruiken automatisering en machine learning-technieken om te identificeren wat detectie ontwijkt en daaropvolgende aanvallen aan te passen om het succes te vergroten."
Regeringen, diplomaten, internationale organisaties en niet-gouvernementele organisaties (NGO's) moeten zeer alert zijn op deze en andere Russische spionage-inspanningen, aldus de Poolse cyberbeveiligingsautoriteiten.
"De Militaire Contraspionagedienst en CERT.PL raden ten zeerste aan dat alle entiteiten die mogelijk in het interessegebied van de actor zijn, configuratiewijzigingen doorvoeren om het leveringsmechanisme dat werd gebruikt in de beschreven campagne te verstoren", aldus functionarissen.
Aan Rusland gekoppelde aanvallen op de infrastructuur van Canada
Naast waarschuwingen van Poolse cyberbeveiligingsfunctionarissen, heeft de Canadese premier Justin Trudeau de afgelopen week openbare verklaringen afgelegd over een recente golf van Aan Rusland gekoppelde cyberaanvallen gericht op Canadese infrastructuur, inclusief denial-of-service-aanvallen op Hydro-Québec, elektriciteitsbedrijf, de website van Trudeau's kantoor, de haven van Quebec en Laurentiaanse Bank. Trudeau zei dat de cyberaanvallen verband houden met de steun van Canada aan Oekraïne.
"Een paar denial-of-service-aanvallen op overheidswebsites, waardoor ze een paar uur uit de lucht zijn, zullen ons er niet toe brengen onze ondubbelzinnige houding te heroverwegen om te doen wat nodig is zolang het nodig is om Oekraïne te steunen,' zei Trudeau. , volgens rapporten.
De baas van het Canadian Centre for Cyber Security, Sami Khoury, zei vorige week op een persconferentie dat hoewel er geen schade is aangericht aan de infrastructuur van Canada, "de dreiging reëel is". toegang tot Canadezen, gezondheidszorg bieden of in het algemeen een van de diensten uitvoeren waar Canadezen niet zonder kunnen, moet u uw systemen beschermen, 'zei Khoury. “Bewaak uw netwerken. Beperkingen toepassen.”
De inspanningen van Rusland op het gebied van cybercriminaliteit gaan door
Terwijl de Russische invasie van Oekraïne zijn tweede jaar ingaat, zegt Mike Parkin van Vulcan Cyber dat de recente campagnes nauwelijks een verrassing mogen zijn.
"De cyberbeveiligingsgemeenschap heeft de gevolgen en nevenschade van het conflict in Oekraïne sinds het begin gevolgd, en we weten dat Russische en pro-Russische dreigingsactoren actief waren tegen westerse doelen", Parkin zegt. “Gezien de niveaus van cybercriminele activiteit waar we al mee te maken hadden, [dit zijn] slechts enkele nieuwe tools en nieuwe doelen - en een herinnering om ervoor te zorgen dat onze verdediging up-to-date en correct geconfigureerd is.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks
- :is
- $UP
- 7
- a
- Over
- toegang
- Volgens
- actieve
- activiteit
- actoren
- toegevoegd
- Voegt
- vergevorderd
- Afrika
- tegen
- Alarm
- Alles
- al
- Ambassadeur
- en
- verschijnen
- Solliciteer
- April
- APT
- ZIJN
- GEBIED
- AS
- At
- aanvallen
- Aanvallen
- Overheid
- Automatisering
- terug
- slecht
- Bank
- BE
- achter
- geloofde
- BOSS
- Bringing
- by
- Agenda
- Campagne
- Campagnes
- CAN
- Canada
- Canadees
- Canadezen
- verzorging
- Veroorzaken
- centrum
- ceo
- keten
- Wijzigingen
- Klik
- code
- Collateral
- hoe
- Communicatie
- Gemeenschappen
- gemeenschap
- compromis
- Aangetast
- Conferentie
- Configuratie
- conflict
- landen
- Koppel
- Type cursus
- criteria
- kritisch
- cyber
- internetveiligheid
- cyberaanvallen
- cybercrime
- CYBERCRIMINEEL
- Cybersecurity
- Donker
- Donkere lezing
- Datum
- omgang
- levering
- tonen
- beschreven
- aangewezen
- gegevens
- Opsporing
- apparaat
- moeilijk
- diplomaten
- directe
- ontwrichten
- documenten
- doen
- beneden
- Download
- inspanningen
- Elektrisch
- e-mails
- ingebed
- entiteiten
- spionage
- Nederlands
- Europese Landen
- Europeese Unie
- Alle
- uitgelegd
- Fallout
- vertrouwdheid
- weinig
- Dien in
- Voor
- vreemd
- vers
- oppompen van
- spel
- algemeen
- krijgen
- gaan
- Overheid
- Groep
- hacker
- Gezondheid
- Gezondheidszorg
- Hoge
- HOURS
- HTTPS
- identificeert
- identificeren
- uitvoeren
- verbeteren
- verbeteringen
- in
- Inclusief
- Laat uw omzet
- indicatoren
- berucht
- informatie
- Infrastructuur
- instantie
- Intelligentie
- belang
- Internationale
- Internet
- internet toegang
- invasie
- uitnodiging
- Uitgegeven
- IT
- HAAR
- JavaScript
- jpg
- Justin
- Justin Trudeau
- bekend
- Achternaam*
- lancering
- leren
- niveaus
- LINK
- gekoppeld
- lang
- machine
- machine learning
- gemaakt
- maken
- MERKEN
- malware
- Mei..
- mechanisme
- vergadering
- Meets
- Bericht
- Microsoft
- Leger
- gewijzigd
- wijzigen
- monitor
- meer
- meervoudig
- Genoemd
- bijna
- netwerken
- New
- nieuws
- NGO's
- bekend
- of
- bieden
- Kantoor
- on
- lopend
- geopend
- besturen
- orders
- organisaties
- Overige
- pagina
- deel
- verleden
- persoonlijk
- Personeel
- Plato
- Plato gegevensintelligentie
- PlatoData
- Polen
- Pools
- Berichten
- potentieel
- energie
- Prime
- premier
- naar behoren
- beschermen
- zorgen voor
- publiek
- Woede
- lezing
- vast
- geruststellend
- recent
- adviseren
- verwant
- verslag
- gemeld
- lopen
- Rusland
- Russisch
- s
- Zei
- zegt
- Tweede
- veiligheid
- te zien
- gekozen
- service
- Diensten
- reeks
- Aandelen
- moet
- kant
- sinds
- website
- SolarWinds
- sommige
- bron
- stadia
- gestart
- verklaringen
- Staten
- opgeslagen
- volgend
- succes
- geslaagd
- leveren
- toeleveringsketen
- ondersteuning
- ondersteunende
- verrassing
- Systems
- neemt
- doelwit
- doelen
- team
- technieken
- vertelt
- dat
- De
- Ze
- Deze
- bedreiging
- bedreigingsactoren
- drie
- overal
- niet de tijd of
- keer
- timing
- naar
- samen
- tools
- tools
- Trudeau
- Oekraïne
- unie
- us
- .
- utility
- maakt gebruik van
- Ve
- Slachtoffer
- vulcaan
- loon
- waarschuwing
- kijken
- Website
- websites
- week
- GOED
- Western
- Wat
- Wat is
- welke
- en
- geheel
- Met
- zonder
- Mijn werk
- samenwerken
- zou
- geschreven
- jaar
- jaar
- You
- Your
- zephyrnet
