SolarWinds-angripere dingler BMW-er for å spionere på diplomater

Den Russland-støttede gruppen bak det beryktede SolarWinds-angrepet er rettet mot «et forbløffende antall» utenlandske diplomater som jobber ved ambassader i Ukraina med lokker som er litt mer personlige enn den tradisjonelle politiske prisen som vanligvis brukes for å lokke dem til å klikke på ondsinnede lenker.

Forskere fra Palo Alto Networks Unit 42 observerte gruppen – som de sporer som Kappet Ursa men som er bedre kjent som Nobelium/APT29 - et kjøretøy å komme seg rundt i.

Det første lokket i kampanjen så ut til å bruke en legitim flyer for salg av en brukt BMW sedan i Kiev som ble spredt til ulike ambassader av en diplomat i det polske utenriksdepartementet. Selv om det virker ganske uskyldig, kan salget av en pålitelig bil fra en pålitelig diplomat - spesielt i et krigsherjet område som Ukraina - definitivt trekke oppmerksomheten til en ny ankommet til stedet, bemerket forskerne.

Dette er noe Cloaked Ursa regnet som en mulighet, og brukte flyer til å lage sin egen illegitime, som gruppen sendte til flere diplomatiske oppdrag to uker senere som lokkemiddel i sin malware-kampanje. Gruppen inkluderte i meldingen en ondsinnet lenke, som sa at mål kan finne flere bilder av bilen der. Ofre finner mer enn bare bilder hvis de klikker på lenken, som kjører skadelig programvare stille i bakgrunnen mens det valgte bildet vises på offerets skjerm.

Nyttelasten til kampanjen er en JavaScript-basert skadelig programvare som gir angripere en spionasjeklar bakdør inn i offerets system, og muligheten til å laste ytterligere skadelig kode gjennom en kommando-og-kontroll-tilkobling (C2).

Den avanserte vedvarende trusselen (APT) viste plan for å generere sin målliste, ved å bruke offentlig tilgjengelige ambassade-e-postadresser for omtrent 80 % av de målrettede ofrene, og upubliserte e-postadresser som ikke ble funnet på overflatenettet for de andre 20 %. Dette var sannsynligvis "for å maksimere deres tilgang til ønskede nettverk," ifølge enhet 42.

Forskerne observerte Cloaked Ursa som utøver kampanjen mot 22 av 80 utenlandske oppdrag i Ukraina, men det faktiske antallet mål er sannsynligvis høyere, sa de.

"Dette er svimlende i omfang for det som generelt er snevert omfang og hemmelige APT-operasjoner," ifølge enhet 42.

En endring i Malware Cyber ​​Tactics

Det er en strategisk pivot fra å bruke emne relatert til jobbene deres som agn, avslørte forskere i et blogginnlegg publisert denne uken.

"Disse ukonvensjonelle lokkene er designet for å lokke mottakeren til å åpne et vedlegg basert på deres egne behov og ønsker i stedet for som en del av deres rutinemessige plikter," skrev forskerne.

Denne endringen i lokketaktikken kan være et grep for å øke suksessfaktoren til kampanjen, ikke bare for å kompromittere det opprinnelige målet, men også andre innenfor samme organisasjon, og dermed utvide rekkevidden, foreslo forskerne.

"Lukningene i seg selv er bredt anvendelige på tvers av det diplomatiske samfunnet, og kan dermed sendes og videresendes til et større antall mål," skrev de i innlegget. "De er også mer sannsynlig å bli videresendt til andre i en organisasjon, så vel som i det diplomatiske samfunnet."

Cloaked Ursa/Nobelium/APT29, er en statsstøttet gruppe tilknyttet Russlands Foreign Intelligence Service (SVR), er kanskje mest kjent for SolarWinds angriper, som startet med en bakdør oppdaget i desember 2020 som spredte seg til rundt 18,000 XNUMX organisasjoner via infiserte programvareoppdateringer – og som fortsatt har en innvirkning på hele programvareforsyningskjeden.

Gruppen har holdt seg konsekvent aktiv siden den gang, og har bygget opp en rekke angrep som stemmer overens med Russlands overordnede geopolitiske holdning mot ulike utenriksdepartementer og diplomater, og den amerikanske regjeringen. En fellesnevner på tvers av hendelser er en sofistikert både taktikk og tilpasset skadevareutvikling.

Enhet 42 bemerket likheter med andre kjente kampanjer fra Cloaked Ursa, inkludert målene for angrepet, og kode overlapper med annen kjent skadelig programvare fra gruppen.

Redusere APT-cyberangrep på sivilsamfunnet

Forskerne ga noen råd til folk på diplomatiske oppdrag for å unngå å bli offer for sofistikerte og smarte angrep fra APT-er som Cloaked Ursa. Den ene er at administratorer trener nylig tildelte diplomater på cybersikkerhetstruslene for regionen før de kommer.

Offentlige eller bedriftsansatte generelt bør alltid være forsiktige med nedlastinger, selv fra tilsynelatende ufarlige eller legitime nettsteder, samt ta ekstra forholdsregler for å observere URL-omdirigering ved bruk av URL-forkortingstjenester, da dette kan være et kjennetegn på et phishing-angrep.

Folk bør også følge nøye med på e-postvedlegg for å unngå å bli offer for phishing, sa forskerne. De bør verifisere filtypene for å sikre at filen de åpner er den de vil ha, og unngå filer med utvidelser som ikke samsvarer med eller forsøker å tilsløre filens natur.

Til slutt foreslo forskerne at diplomatiske ansatte deaktiverer JavaScript som regel, noe som vil gjøre at all skadelig programvare basert på programmeringsspråket ikke kan kjøres.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats