Russisk etterretning retter seg mot ofre over hele verden i raske cyberangrep

Russiske statshackere utfører målrettede phishing-kampanjer i minst ni land fordelt på fire kontinenter. E-postene deres viser offisiell virksomhet fra myndighetene, og hvis de lykkes, truer de ikke bare sensitive organisasjonsdata, men også geopolitisk etterretning av strategisk betydning.

Et slikt sofistikert, flerstrenget plot kan bare lages av en gruppe så produktiv som Fancy Bear (aka APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028, og mange flere aliaser fortsatt), som IBM X-Force sporer som ITG05 i en ny rapport.

Foruten de overbevisende lokkemidler med regjeringstema og tre nye varianter av tilpassede bakdører, skiller kampanjen seg ut mest for informasjonen den retter seg mot: Fancy Bear ser ut til å sikte på svært spesifikk informasjon til bruk for den russiske regjeringen.

Offentlige phishing lokker

Fancy Bear har brukt minst 11 unike lokker i kampanjer rettet mot organisasjoner i Argentina, Ukraina, Georgia, Hviterussland, Kasakhstan, Polen, Armenia, Aserbajdsjan og USA.

Lokkene ser ut som offisielle dokumenter knyttet til internasjonale myndigheter, og dekker temaer så bredt som finans, kritisk infrastruktur, utøvende engasjementer, cybersikkerhet, maritim sikkerhet, helsevesen og forsvarsindustriell produksjon.

Noen av disse er legitime, offentlig tilgjengelige dokumenter. Andre, interessant nok, ser ut til å være interne i spesifikke offentlige etater, og reiser spørsmålet om hvordan Fancy Bear fikk tak i dem i utgangspunktet.

"X-Force har ikke innsikt i hvorvidt ITG05 har kompromittert de etterligne organisasjonene," bemerker Claire Zaboeva, trusseljeger for IBM X-Force. "Siden det er mulig at ITG05 utnyttet uautorisert tilgang til å samle inn interne dokumenter, har vi varslet alle imiterte parter om aktiviteten før publisering som en del av vår policy for ansvarlig offentliggjøring."

Alternativt kan Fancy Bear/ITGO5 bare ha imitert ekte filer. "For eksempel har noen av de avdekkede dokumentene merkbare feil som feilstaving av navnene på hovedpartene i det som ser ut til å være offisielle offentlige kontrakter," sa hun.

Et potensielt motiv?

En annen viktig kvalitet ved disse lokkene er at de er ganske spesifikke.

Eksempler på engelsk inkluderer et policydokument om nettsikkerhet fra en georgisk NGO, og en reiserute fra januar som beskriver 2024 Meeting and Exercise Bell Buoy (XBB24) for deltakere i US Navy's Pacific Indian Ocean Shipping Working Group (PACIOSWG).

Og det er lokkemidler med finanstema: et hviterussisk dokument med anbefalinger for å skape kommersielle betingelser for å legge til rette for mellomstatlig virksomhet innen 2025, i tråd med et initiativ fra Eurasian Economic Union, et budsjettpolitisk dokument fra det argentinske økonomidepartementet som tilbyr "strategiske retningslinjer" for å hjelpe president med nasjonal økonomisk politikk, og mer i denne retningen.

"Det er sannsynlig at innsamling av sensitiv informasjon angående budsjettproblemer og sikkerhetsposisjonen til globale enheter er et høyt prioritert mål gitt ITG05s etablerte oppdragsområde," sa X-Force i sin rapport om kampanjen.

Argentina, for eksempel, avviste nylig en invitasjon til å bli med i handelsorganisasjonen BRICS (Brasil, Russland, India, Kina, Sør-Afrika), så "det er mulig at ITG05 søker å oppnå tilgang som kan gi innsikt i prioriteringene til den argentinske regjeringen ", sa X-Force.

Aktivitet etter utnyttelse

Foruten spesifisitet og et utseende av legitimitet, bruker angriperne enda et psykologisk triks for å fange ofrene: først presenterer de bare en uskarp versjon av dokumentet. Som i bildet nedenfor, kan mottakerne se akkurat nok detaljer til å se at disse dokumentene virker offisielle og viktige, men ikke nok til å unngå å klikke på dem.

Eksempel på lokkedokument; Kilde: IBM

Når ofre på angriperkontrollerte nettsteder klikker for å se lokkedokumentene, laster de ned en Python-bakdør kalt «Masepie». Først oppdaget i desember, er den i stand til å etablere utholdenhet i en Windows-maskin, og muliggjøre nedlasting og opplasting av filer og vilkårlig kommandokjøring.

En av filene Masepie laster ned til infiserte maskiner er "Oceanmap", et C#-basert verktøy for kommandokjøring via Internet Message Access Protocol (IMAP). Oceanmaps originale variant – ikke den som ble brukt her – hadde funksjonalitet for å stjele informasjon som siden har blitt fjernet og overført til «Steelhook», den andre Masepie-nedlastede nyttelasten knyttet til denne kampanjen.

Steelhook er et PowerShell-skript hvis jobb er å eksfiltrere data fra Google Chrome og Microsoft Edge via en webhook.

Mer bemerkelsesverdig enn skadelig programvare er Fancy Bears umiddelbare handling. Som først beskrevet av Ukrainas Computer Emergency Response Team (CERT-UA), Fancy Bear-infeksjoner med den første timen etter landing på en offermaskin, last ned bakdører og utføre rekognosering og sideveis bevegelse via stjålne NTLMv2-hasher for reléangrep.

Så potensielle ofre må handle raskt eller, enda bedre, forberede seg på forhånd for infeksjonene deres. De kan gjøre det ved å følge IBMs vaskeriliste med anbefalinger: overvåking av e-poster med URL-er servert av Fancy Bears vertsleverandør, FirstCloudIT, og mistenkelig IMAP-trafikk til ukjente servere, som adresserer de foretrukne sårbarhetene – som CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – og mye mer.

"ITG05 vil fortsette å utnytte angrep mot verdens regjeringer og deres politiske apparat for å gi Russland avansert innsikt i nye politiske beslutninger," konkluderte forskerne.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks