De door Rusland gesteunde groep achter de beruchte SolarWinds-aanval richt zich op “een verbazingwekkend aantal” buitenlandse diplomaten die bij ambassades in Oekraïne werken met lokmiddelen die iets persoonlijker zijn dan het traditionele politieke tarief dat normaal gesproken wordt gebruikt om hen te verleiden op kwaadaardige links te klikken.
Onderzoekers van Palo Alto Networks' Unit 42 observeerden de groep – die zij volgen Gehulde Ursa maar dat beter bekend staat als Nobelium/APT29 – een voertuig om in rond te reizen.
De aanvankelijke aantrekkingskracht van de campagne leek het gebruik van een legitieme flyer voor de verkoop van een gebruikte BMW sedan in Kiev, die door een diplomaat van het Poolse ministerie van Buitenlandse Zaken naar verschillende ambassades werd verspreid. Hoewel het vrij onschuldig lijkt, zou de verkoop van een betrouwbare auto van een vertrouwde diplomaat – vooral in een door oorlog verscheurd gebied als Oekraïne – zeker de aandacht kunnen trekken van een nieuwkomer op het toneel, merkten de onderzoekers op.
Dit is iets dat Cloaked Ursa als een kans zag en de flyer een nieuwe bestemming gaf om zijn eigen onwettige flyer te creëren, die de groep twee weken later naar meerdere diplomatieke missies stuurde als lokaas in zijn malwarecampagne. De groep voegde in het bericht een kwaadaardige link toe, waarin stond dat doelwitten daar meer foto's van de auto kunnen vinden. Slachtoffers vinden meer dan alleen foto's als ze op de link klikken, die stilletjes op de achtergrond malware uitvoert terwijl de geselecteerde afbeelding op het scherm van het slachtoffer wordt weergegeven.
De lading van de campagne is een op JavaScript gebaseerde malware die aanvallers een spionage-ready achterdeur geeft naar het systeem van het slachtoffer, en de mogelijkheid om verdere kwaadaardige code te laden via een command-and-control (C2)-verbinding.
De geavanceerde aanhoudende dreiging (APT) toonde met voorbedachten rade aan bij het samenstellen van de doelwitlijst, waarbij voor ongeveer 80% van de beoogde slachtoffers openbaar beschikbare e-mailadressen van de ambassade werden gebruikt, en voor de overige 20% ongepubliceerde e-mailadressen die niet op het gewone internet te vinden zijn. Dit was waarschijnlijk “om hun toegang tot de gewenste netwerken te maximaliseren”, aldus Unit 42.
De onderzoekers observeerden Cloaked Ursa die de campagne voerde tegen 22 van de 80 buitenlandse missies in Oekraïne, maar het werkelijke aantal doelwitten ligt waarschijnlijk hoger, zeiden ze.
“Dit is een verbijsterende reikwijdte voor wat over het algemeen kleinschalige en clandestiene APT-operaties zijn”, aldus Unit 42.
Een verandering in de cybertactiek van malware
Het is een strategische draai om onderwerpen die verband houden met hun werk als lokaas te gebruiken, onthulden onderzoekers een blog post deze week gepubliceerd.
“Deze onconventionele lokmiddelen zijn ontworpen om de ontvanger te verleiden een bijlage te openen op basis van hun eigen behoeften en wensen, in plaats van als onderdeel van hun routinematige taken”, schreven de onderzoekers.
Deze verandering in de loktactiek zou een stap kunnen zijn om de succesfactor van de campagne te vergroten, niet alleen om het oorspronkelijke doelwit in gevaar te brengen, maar ook anderen binnen dezelfde organisatie, waardoor het bereik ervan wordt vergroot, suggereerden de onderzoekers.
“Het kunstaas zelf is breed toepasbaar in de diplomatieke gemeenschap en kan dus naar een groter aantal doelen worden gestuurd en doorgestuurd”, schreven ze in de post. “Het is ook waarschijnlijker dat ze worden doorgestuurd naar anderen binnen een organisatie, maar ook naar binnen de diplomatieke gemeenschap.”
Cloaked Ursa/Nobelium/APT29, is een door de staat gesponsorde groep geassocieerd met de Russische Buitenlandse Inlichtingendienst (SVR), en is misschien het best bekend vanwege de SolarWinds-aanval, dat begon met een achterdeur die in december 2020 werd ontdekt en die zich via geïnfecteerde software-updates naar zo’n 18,000 organisaties verspreidde – en die nog steeds impact heeft op de hele softwaretoeleveringsketen.
De groep is sindsdien consequent actief gebleven en heeft een reeks van aanvallen die aansluiten bij het algemene geopolitieke standpunt van Rusland daartegen diverse ministeries van Buitenlandse Zaken en diplomatenen de Amerikaanse regering. Een gemeenschappelijke noemer van incidenten is: verfijning in zowel tactieken als aangepaste malware-ontwikkeling.
Unit 42 merkte overeenkomsten op met andere bekende campagnes van Cloaked Ursa, inclusief de doelwitten van de aanval, en code-overlap met andere bekende malware van de groep.
Het beperken van APT-cyberaanvallen op het maatschappelijk middenveld
De onderzoekers gaven mensen op diplomatieke missies wat advies om te voorkomen dat ze ten prooi vallen aan geavanceerde en slimme aanvallen door APT's zoals Cloaked Ursa. Eén daarvan is dat bestuurders nieuw aangestelde diplomaten vóór hun aankomst trainen in de cyberveiligheidsbedreigingen voor de regio.
Overheids- of bedrijfswerknemers moeten in het algemeen altijd voorzichtig zijn met downloads, zelfs van ogenschijnlijk onschadelijke of legitieme sites, en extra voorzorgsmaatregelen nemen om URL-omleiding te observeren bij het gebruik van URL-verkortingsdiensten, aangezien dit een kenmerk kan zijn van een phishing-aanval.
Mensen moeten ook goed letten op de bijlagen van e-mails om te voorkomen dat ze het slachtoffer worden van phishing, aldus de onderzoekers. Ze moeten de typen bestandsextensies verifiëren om er zeker van te zijn dat het bestand dat ze openen het bestand is dat ze willen, en moeten bestanden vermijden met extensies die niet overeenkomen of proberen de aard van het bestand te verdoezelen.
Ten slotte suggereerden de onderzoekers dat diplomatieke medewerkers JavaScript in de regel uitschakelen, waardoor malware die in de programmeertaal is gebaseerd niet meer kan worden uitgevoerd.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats
- : heeft
- :is
- :niet
- 000
- 2020
- 22
- 7
- 80
- a
- vermogen
- in staat
- Over
- toegang
- Volgens
- over
- actieve
- daadwerkelijk
- adressen
- beheerders
- vergevorderd
- advies
- Zaken
- tegen
- richten
- ook
- altijd
- an
- en
- elke
- verscheen
- toepasselijk
- APT
- ZIJN
- GEBIED
- rond
- aankomst
- AS
- toegewezen
- geassocieerd
- At
- aanvallen
- Aanvallen
- aandacht
- Beschikbaar
- vermijd
- het vermijden van
- achterdeur
- achtergrond
- aas
- gebaseerde
- BE
- achter
- wezen
- BEST
- Betere
- Beetje
- Blog
- BMW
- zowel
- breed
- maar
- by
- Campagne
- Campagnes
- CAN
- auto
- voorzichtig
- keten
- verandering
- Klik
- Sluiten
- code
- Gemeen
- gemeenschap
- compromis
- versterken
- Bedrijfs-
- kon
- en je merk te creëren
- gewoonte
- cyber
- cyberaanvallen
- Cybersecurity
- December
- definitief
- ontworpen
- gewenste
- diplomaten
- ontdekt
- displays
- don
- downloads
- trekken
- e-mails
- medewerkers
- verzekeren
- vooral
- Zelfs
- uitvoeren
- Voert uit
- verlenging
- uitbreiding
- extensies
- extra
- factor
- tamelijk
- Vallend
- Dien in
- Bestanden
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Voor
- vreemd
- gevonden
- oppompen van
- verder
- Algemeen
- algemeen
- voortbrengen
- geopolitiek
- krijgen
- geeft
- Overheid
- meer
- Groep
- met
- hoger
- HTTPS
- if
- beeld
- Impact
- in
- inclusief
- Inclusief
- Laat uw omzet
- berucht
- eerste
- onschuldig
- binnen
- verkrijgen in plaats daarvan
- Intelligentie
- in
- IT
- HAAR
- JavaScript
- Vacatures
- jpg
- voor slechts
- bekend
- taal
- later
- rechtmatig
- als
- Waarschijnlijk
- LINK
- links
- Lijst
- laden
- malware
- Match
- Materie
- Maximaliseren
- Bericht
- ministerie
- missies
- meer
- beweging
- meervoudig
- NATUUR
- behoeften
- netwerken
- New
- onlangs
- normaal
- bekend
- aantal
- waarnemen
- of
- aangeboden
- on
- EEN
- Slechts
- open
- opening
- Operations
- kansen
- or
- organisatie
- organisaties
- Overige
- Overig
- totaal
- het te bezitten.
- Palo Alto
- deel
- Betaal
- Mensen
- misschien
- persoonlijk
- Phishing
- phishing-aanval
- Foto's
- Spil
- Plato
- Plato gegevensintelligentie
- PlatoData
- Pools
- politiek
- Post
- Voorafgaand
- Programming
- in het openbaar
- gepubliceerde
- bereiken
- regio
- verwant
- betrouwbaar
- bleef
- onderzoekers
- Revealed
- Regel
- Rusland
- s
- Zei
- sale
- dezelfde
- gezegde
- scène
- omvang
- scherm
- schijnbaar
- lijkt
- gekozen
- verzonden
- -Series
- service
- Diensten
- moet
- vertoonde
- overeenkomsten
- sinds
- Locaties
- Software
- SolarWinds
- sommige
- iets
- geraffineerd
- verspreiden
- gestart
- Still
- strategisch
- onderwerpen
- succes
- leveren
- toeleveringsketen
- Oppervlak
- system
- tactiek
- Nemen
- doelwit
- doelgerichte
- targeting
- doelen
- neem contact
- dat
- De
- hun
- Ze
- zich
- harte
- Er.
- Deze
- ze
- dit
- deze week
- bedreiging
- bedreigingen
- Door
- naar
- spoor
- traditioneel
- Trainen
- vertrouwde
- twee
- types
- Oekraïne
- niet in staat
- onconventionele
- eenheid
- updates
- URL
- us
- de regering van de Verenigde Staten
- .
- gebruikt
- gebruik
- divers
- voertuig
- controleren
- via
- Slachtoffer
- slachtoffers
- willen
- wil
- was
- web
- week
- weken
- GOED
- Wat
- wanneer
- welke
- en
- Met
- binnen
- werkzaam
- zou
- schreef
- zephyrnet
