Russland-tilknyttede trusselaktører benyttet både PysOps og spyd-phishing å målrette mot brukere over flere måneder på slutten av 2023 i en flerbølgekampanje rettet mot å spre feilinformasjon i Ukraina og stjele Microsoft 365-legitimasjon over hele Europa.
Operasjonen – kalt Operation Texonto – kom i to distinkte bølger, den første i oktober-november 2023 og den andre i november-desember 2023, oppdaget forskere fra ESET. Kampanjen brukte et mangfold av pysop-taktikker og spam-e-poster som sin viktigste distribusjonsmetode, avslørte de i et blogginnlegg publisert 22. feb.
Kronologisk sett var den første kampanjen et spyd-phishing-angrep som var rettet mot et ukrainsk forsvarsselskap i oktober 2023 og et EU-byrå i november 2023. Den andre var en desinformasjonskampanje hovedsakelig fokusert på ukrainske mål ved bruk av emner relatert til oppvarmingsavbrudd, narkotikamangel, og matmangel - "typiske temaer for russisk propagandarelatert kampanje," sa forskerne.
Selv om de hadde forskjellige mål, brukte begge lignende nettverksinfrastruktur, som er hvordan ESET koblet de to sammen. Så, i en litt plott-vri, var en URL knyttet til Operation Texonto å sende typisk kanadisk apotekspam i en egen kampanje som fant sted i januar.
Hybridkrig mellom Russland og Ukraina
Trusselkampanjer har vært ansatt av russisk-allierte trusselaktører som f.eks Sandworm og Gamaredon in en nettkrig med Ukraina altså kjøre samtidig med den toårige bakkedriften, ifølge ESET. Sandorm spesielt brukte vindusviskere til forstyrre ukrainsk IT-infrastruktur tidlig i krigen, mens Gamaredon nylig har trappet opp cyberspionasjeoperasjoner.
"Operasjon Texonto viser enda en bruk av teknologier for å prøve å påvirke krigen," skrev forskerne i innlegget, selv om de ikke tilskrev operasjonen til en spesifikk aktør. "Vi fant noen typiske falske Microsoft-påloggingssider, men viktigst av alt var det to bølger av pysops via e-post, sannsynligvis for å prøve å påvirke ukrainske borgere og få dem til å tro at Russland vil vinne."
Operasjon Texonto viser også andre bemerkelsesverdige avvik fra typisk ondsinnet aktivitet, bemerker Matthieu Faou, ESET-forskeren som leder etterforskningen, i en e-post til Dark Reading.
"Det som er interessant i Operation Texonto-saken er at den samme trusselaktøren både er engasjert i desinformasjon og i spyd-phishing-kampanjer, mens de fleste trusselaktørene gjør det ene eller det andre," observerer han. "Som sådan er det klart at det er en planlagt pysop og ikke bare noen som legger ut feilinformasjon på Internett."
Kampanjen viser også et trekk bort fra å bruke vanlige kanaler som Telegram eller falske nettsteder for å formidle de ondsinnede meldingene, bemerket forskerne.
To distinkte bølger
Det første tegnet på operasjonen kom i oktober da ansatte som jobbet ved et større ukrainsk forsvarsselskap mottok en phishing-e-post angivelig fra IT-avdelingen. Meldingen advarte om at postkassen deres kan bli fjernet, og at for å logge på må de klikke på en lenke til en nettversjon av postkassen og logge på med legitimasjonen.
Koblingen fører i stedet til en phishing-side, som ESET-forskere antok fra et annet domene som tilhører operasjonen som ble sendt til VirusTotal at det var en falsk Microsoft-påloggingsside for å stjele Microsoft 365-legitimasjon, selv om de ikke klarte å hente selve phishing-siden.
Den neste bølgen av kampanjen var den første pysops-operasjonen, som sendte desinformasjon e-poster med et PDF-vedlegg til minst noen hundre personer som jobber for den ukrainske regjeringen og energiselskaper, samt individuelle borgere.
I motsetning til den tidligere beskrevne phishing-kampanjen så imidlertid målet med disse e-postene ut til å være ren desinformasjon for å så tvil i hodet til ukrainere, i stedet for å spre ondsinnede lenker.
E-poster i kampanjen informerte mottakere om potensiell mat-, oppvarmings- og narkotikamangel, med en som gikk så langt som å antyde at de spiser «duerisotto» og til og med ga bilder av en levende due og en kokt due som «viser at disse dokumentene ble opprettet med vilje for å irritere leserne,» bemerket forskerne.
"Samlet sett stemmer meldingene overens med vanlige russiske propagandatemaer," skrev de. "De prøver å få ukrainere til å tro at de ikke vil ha narkotika, mat og oppvarming på grunn av krigen mellom Russland og Ukraina."
Den andre fasen av pysops bølge skjedde i desember og utvidet til andre europeiske land, med en tilfeldig rekke av noen hundre mål som spenner fra den ukrainske regjeringen til en italiensk skoprodusent, men fortsatt skrevet på ukrainsk. Forskerne oppdaget to forskjellige e-postmaler i kampanjen som sendte sarkastiske feriehilsener til ukrainere i et nytt forsøk på å nedsette og fraråde dem.
Ondsinnede domener og forsvarstaktikker
Forskerne sporet hovedsakelig domener for å holde tritt med nettkriminelle involvert i Operasjon Texonto, noe som førte dem ned på noen interessante veier. Den ene var en tilsynelatende urelatert, men typisk kanadisk spamkampanje for apotek som brukte en e-postserver drevet av angriperne, en "kategori av ulovlig virksomhet [som] har vært veldig populær i det russiske nettkriminalitetssamfunnet," sa de.
Andre domenenavn knyttet til kampanjen gjenspeilte nyere aktuelle hendelser som døden til Alexei Navalnyj, den velkjente russiske opposisjonslederen som døde 16. februar i fengselet. Eksistensen av disse domenene - inkludert navalny-votes[.]net, navalny-votesmart[.]net og navalny-voting[.]net - "betyr at Operasjon Texonto sannsynligvis inkluderer spyd-phishing eller informasjonsoperasjoner rettet mot russiske dissidenter." skrev forskerne.
ESET inkluderte en rekke indikatorer for kompromiss (IOC), inkludert domener, e-postadresser og MITER ATT&CK-teknikker i rapporten. Forskerne anbefaler også at organisasjoner muliggjør sterke tofaktorautentisering – for eksempel en telefonautentiseringsapp eller en fysisk nøkkel – for å forsvare seg mot spyd-phishing-angrep som er rettet mot Office 365, sier Faou.
Når det gjelder forsvar mot ondsinnede aktørers forsøk på å spre desinformasjon på nettet, "er den beste beskyttelsen å bruke vår kritiske tankegang og ikke stole på informasjon på Internett," legger han til.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- : har
- :er
- :ikke
- $OPP
- 16
- 2023
- 22
- 7
- a
- I stand
- Ifølge
- tvers
- aktivitet
- aktører
- adresser
- Legger
- mot
- byrå
- sikte
- mål
- justere
- også
- an
- og
- En annen
- noen
- app
- dukket opp
- ER
- Array
- AS
- assosiert
- At
- angripe
- Angrep
- forsøk
- borte
- BE
- fordi
- vært
- tro
- tilhørighet
- BEST
- Bit
- Blogg
- både
- virksomhet
- men
- by
- kom
- Kampanje
- Kampanjer
- Canadian
- saken
- Kategori
- kanaler
- Borgere
- fjerne
- klikk
- Felles
- samfunnet
- Selskaper
- Selskapet
- kompromiss
- kokt
- land
- opprettet
- Credentials
- kritisk
- Gjeldende
- cyber
- cybercrime
- nettkriminelle
- mørk
- Mørk lesning
- Død
- Desember
- Defending
- Forsvar
- demonstrerer
- Avdeling
- beskrevet
- gJORDE
- døde
- forskjellig
- oppdaget
- desinformasjon
- nedsettelse
- distinkt
- distribusjon
- diverse
- do
- dokumenter
- domene
- DOMENENAVN
- domener
- tviler
- ned
- medikament
- Narkotika
- dubbet
- Tidlig
- spise
- innsats
- emalje
- e-post
- ansatt
- ansatte
- muliggjøre
- slutt
- energi
- engasjert
- spionasje
- EU
- Europa
- europeisk
- Europeiske land
- Selv
- hendelser
- eksistens
- utvidet
- forfalskning
- langt
- Februar
- Noen få
- Først
- fokuserte
- mat
- Til
- funnet
- fra
- mål
- skal
- Regjeringen
- Hilsener
- Ground
- HAD
- Ha
- he
- ferie
- Hvordan
- Men
- HTTPS
- hundre
- Hybrid
- ulovlig
- viktigere
- in
- inkludert
- inkluderer
- Inkludert
- indikatorer
- individuelt
- påvirke
- informasjon
- informert
- Infrastruktur
- i stedet
- interessant
- Internet
- etterforskning
- involvert
- IT
- italiensk
- DET ER
- selv
- Januar
- bare
- Hold
- nøkkel
- lansere
- føre
- leder
- Fører
- minst
- Led
- LINK
- knyttet
- lenker
- levende
- logg
- Logg inn
- Hoved
- hovedsakelig
- større
- gjøre
- skadelig
- Produsent
- Kan..
- midler
- melding
- meldinger
- metode
- Microsoft
- tankene
- Tankesett
- feil~~POS=TRUNC
- måneder
- mer
- mest
- flytte
- må
- navn
- nettverk
- neste
- bemerkelsesverdig
- spesielt
- bemerket
- Merknader
- November
- Observerer
- forekom
- oktober
- of
- Office
- on
- ONE
- på nett
- operert
- drift
- Drift
- opposisjon
- or
- rekkefølge
- organisasjoner
- Annen
- vår
- enn
- samlet
- side
- sider
- baner
- Ansatte
- fase
- phishing
- phishing-kampanje
- telefon
- Bilder
- fysisk
- planlagt
- plato
- Platon Data Intelligence
- PlatonData
- plott
- Populær
- Post
- potensiell
- tidligere
- fengsel
- sannsynligvis
- propaganda
- beskyttelse
- gi
- rent
- tilfeldig
- område
- spenner
- heller
- lesere
- Lesning
- mottatt
- nylig
- nylig
- mottakere
- anbefaler
- reflektert
- i slekt
- fjernet
- rapporterer
- forsker
- forskere
- Avslørt
- Russland
- Russland-Ukraina-krigen
- russisk
- s
- Sa
- samme
- sier
- Sekund
- tilsynelatende
- send
- sendt
- separat
- server
- flere
- mangel
- Viser
- undertegne
- lignende
- So
- så langt
- noen
- Noen
- purke
- spam
- spesifikk
- Sponset
- spre
- sprer
- Still
- sterk
- innsendt
- slik
- foreslår
- taktikk
- Target
- målrettet
- rettet mot
- mål
- teknikker
- Technologies
- Telegram
- maler
- enn
- Det
- De
- deres
- Dem
- temaer
- deretter
- Der.
- Disse
- de
- De
- selv om?
- trussel
- trusselaktører
- til
- temaer
- Stol
- prøve
- prøver
- vri
- to
- typisk
- Ukraina
- ukrainsk
- ukrainere
- URL
- bruke
- brukt
- Brukere
- ved hjelp av
- versjon
- veldig
- av
- krig
- advarte
- var
- Wave
- bølger
- we
- web
- nettsteder
- VI VIL
- velkjent
- var
- var
- Hva
- Hva er
- når
- hvilken
- mens
- HVEM
- vil
- vinne
- med
- innenfor
- Vant
- arbeid
- skrevet
- skrev
- ennå
- zephyrnet