Russiske SolarWinds-skyldige lanserer en ny sperring av spionasje-cyberangrep

Som en del av den pågående invasjonen av Ukraina, har russisk etterretning nok en gang vervet tjenester fra hackergruppen Nobelium/APT29, denne gangen for å spionere på utenriksdepartementer og diplomater fra NATO-medlemsstater, samt andre mål i EU og Afrika .

Tidspunktet henger også sammen med en rekke angrep på kanadisk infrastruktur, som også antas å være knyttet til Russland.

Den polske militære motetterretningstjenesten og CERT-teamet i Polen utstedte et varsel 13. april, sammen med indikatorer på kompromiss, advarte potensielle mål for spionkampanjen om trusselen. Nobel, som gruppen er utpekt av Microsoft, også kalt APT29 av Mandiant, er ikke ny i nasjonalstatsspionasjespillet, gruppen sto bak den beryktede SolarWinds forsyningskjedeangrep for nesten tre år siden.

Nå er APT29 tilbake med et helt nytt sett med skadevareverktøy og rapporterte marsjordre for å infiltrere det diplomatiske korpset til land som støtter Ukraina, forklarte det polske militæret og CERT-varslingen.

APT29 er tilbake med nye bestillinger

I alle tilfeller begynner den avanserte vedvarende trusselen (APT) sitt angrep med en gjennomtenkt spyd-phishing-e-post, ifølge det polske varselet.

"E-poster som utgir seg for å være ambassader for europeiske land ble sendt til utvalgt personell på diplomatiske stillinger," forklarte myndighetene. "Korrespondansen inneholdt en invitasjon til et møte eller til å jobbe sammen om dokumenter."

Meldingen vil deretter lede mottakeren til å klikke på en lenke eller laste ned en PDF for å få tilgang til ambassadørens kalender, eller få møtedetaljer - begge sender målene til et ondsinnet nettsted lastet med trusselgruppens "signaturskript", som rapporten identifiserer som "Envyscout."

"Jegt bruker HTML-smuglingsteknikken – der en ondsinnet fil plassert på siden dekodes ved hjelp av JavaScript når siden åpnes og deretter lastes ned på offerets enhet, la polske myndigheter til. "Dette gjør den skadelige filen vanskeligere å oppdage på serversiden der den er lagret."

Det ondsinnede nettstedet sender også målene en melding som forsikrer dem om at de lastet ned den riktige filen, heter det i varselet.

"Spear-phishing-angrep er vellykkede når kommunikasjonen er godt skrevet, bruker personlig informasjon for å demonstrere kjennskap til målet, og ser ut til å komme fra en legitim kilde," forteller Patrick Harr, administrerende direktør i SlashNext, til Dark Reading om kampanjen. "Denne spionkampanjen oppfyller alle kriteriene for suksess."

En phishing-e-post, for eksempel etterlignet den polske ambassaden, og interessant nok, i løpet av den observerte kampanjen, ble Envyscout-verktøyet justert tre ganger med tilsløringsforbedringer, bemerket de polske myndighetene.

Når de er kompromittert, bruker gruppen modifiserte versjoner av Snowyamber-nedlasteren, Halfrig, som kjører Koboltstreik som innebygd kode, og Quarterrig, som deler kode med Halfrig, sa det polske varselet.

"Vi ser en økning i disse angrepene der den dårlige skuespilleren bruker flere stadier i en kampanje for å justere og forbedre suksess," legger Harr til. "De bruker automatiserings- og maskinlæringsteknikker for å identifisere hva som unndrar seg oppdagelse og endre påfølgende angrep for å forbedre suksess."
Regjeringer, diplomater, internasjonale organisasjoner og ikke-statlige organisasjoner (NGOer) bør være på høy vakt for denne og andre russiske spioninnsatser, ifølge polske nettsikkerhetsmyndigheter.

"Den militære motetterretningstjenesten og CERT.PL anbefaler på det sterkeste at alle enheter som kan være i aktørens interesseområde implementerer konfigurasjonsendringer for å forstyrre leveringsmekanismen som ble brukt i den beskrevne kampanjen," sa tjenestemenn.

Russisk-tilknyttede angrep på Canadas infrastruktur

I tillegg til advarsler fra polske cybersikkerhetstjenestemenn, har Canadas statsminister Justin Trudeau den siste uken gitt offentlige uttalelser om en nylig bølge av Russisk-tilknyttede cyberangrep rettet mot kanadisk infrastruktur, inkludert avslag på tjenesten på Hydro-Québec, elektrisk verktøy, nettstedet for Trudeaus kontor, Port of Quebecog Laurentian Bank. Trudeau sa at nettangrepene er relatert til Canadas støtte til Ukraina.

"Et par tjenestenektangrep på statlige nettsteder, som får dem ned i noen timer, kommer ikke til å få oss til å revurdere vår utvetydige holdning til å gjøre hva som helst så lenge det tar for å støtte Ukraina, sa Trudeau. , ifølge rapporter.

Sjefen for det kanadiske senteret for cybersikkerhet, Sami Khoury, sa på en pressekonferanse forrige uke at selv om det ikke ble gjort noen skade på Canadas infrastruktur, "er trusselen reell." tilgang til kanadiere, gi helsehjelp eller generelt drive noen av tjenestene kanadiere ikke kan klare seg uten, du må beskytte systemene dine,” sa Khoury. "Overvåk nettverkene dine. Bruk avbøtende tiltak."

Russlands innsats for nettkriminalitet raser videre

Mens Russlands invasjon av Ukraina fortsetter inn i sitt andre år, sier Mike Parkin med Vulcan Cyber ​​at de nylige kampanjene neppe burde være en overraskelse.

"Nettsikkerhetssamfunnet har sett på nedfallet og andre skader fra konflikten i Ukraina siden den startet, og vi har visst at russiske og pro-russiske trusselaktører var aktive mot vestlige mål," sier Parkin. "Tatt i betraktning nivåene av cyberkriminell aktivitet vi allerede hadde å gjøre med, [dette er] bare noen nye verktøy og nye mål – og en påminnelse om å sørge for at forsvaret vårt er oppdatert og riktig konfigurert.»

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• Minting the Future med Adryenn Ashley. Tilgang her.
• kilde: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks