W ramach trwającej inwazji na Ukrainę rosyjski wywiad ponownie skorzystał z usług grupy hakerskiej Nobelium/APT29, tym razem do szpiegowania ministerstw spraw zagranicznych i dyplomatów z państw członkowskich NATO, a także innych celów w Unii Europejskiej i Afryce .
Czas pokrywa się również z falą ataków na kanadyjską infrastrukturę, również uważaną za powiązaną z Rosją.
Służba Kontrwywiadu Wojskowego i zespół CERT w Polsce wydały 13 kwietnia alert wraz ze wskaźnikami kompromitacji, ostrzegając potencjalne cele kampanii szpiegowskiej o zagrożeniu. Nobel, ponieważ grupa jest określana przez firmę Microsoft, również o nazwie APT29 firmy Mandiant, nie jest nowością w grze szpiegowskiej państw narodowych, grupa ta stała za niesławną Atak łańcucha dostaw SolarWinds prawie trzy lata temu.
Teraz APT29 powraca z zupełnie nowym zestawem złośliwych narzędzi i zgłoszonymi rozkazami infiltracji korpusu dyplomatycznego krajów wspierających Ukrainę, wyjaśniło polskie wojsko i alert CERT.
APT29 powraca z nowymi zamówieniami
Zgodnie z polskim alertem, w każdym przypadku zaawansowane zagrożenie uporczywe (APT) rozpoczyna swój atak od przemyślanej wiadomości e-mail typu spear phishing.
„E-maile podszywające się pod ambasady krajów europejskich zostały wysłane do wybranego personelu placówek dyplomatycznych” – wyjaśniły władze. „Korespondencja zawierała zaproszenie na spotkanie lub do wspólnej pracy nad dokumentami”.
Wiadomość kierowałaby następnie odbiorcę do kliknięcia łącza lub pobrania pliku PDF w celu uzyskania dostępu do kalendarza ambasadora lub uzyskania szczegółów spotkania — w obu przypadkach cele wysyłane są do złośliwej strony załadowanej „skryptem podpisu” grupy zagrożeń, który raport identyfikuje jako „Zazdrośnik”.
"t wykorzystuje technikę HTML-smuggling — polegającą na tym, że szkodliwy plik umieszczony na stronie jest dekodowany za pomocą JavaScript, gdy strona jest otwierana, a następnie pobierana na urządzenie ofiary” – dodały polskie władze. „To sprawia, że złośliwy plik jest trudniejszy do wykrycia po stronie serwera, na którym jest przechowywany”.
Złośliwa witryna wysyła również celom wiadomość zapewniającą ich, że pobrali właściwy plik, powiedział alert.
„Ataki spear-phishing są skuteczne, gdy komunikacja jest dobrze napisana, wykorzystuje dane osobowe w celu wykazania znajomości celu i wygląda na to, że pochodzi z legalnego źródła” — mówi Dark Reading o kampanii Patrick Harr, dyrektor generalny SlashNext. „Ta kampania szpiegowska spełnia wszystkie kryteria sukcesu”.
jeden e-mail phishingowy, na przykład podszywał się pod polską ambasadę, a co ciekawe, w trakcie obserwowanej kampanii narzędzie Envyscout zostało trzykrotnie udoskonalone poprzez ulepszenia zaciemniania, jak zauważyły polskie władze.
Po włamaniu grupa używa zmodyfikowanych wersji programu do pobierania Snowyamber, Halfrig, który działa Uderzenie kobaltu jako kod osadzony, oraz Quarterrig, który dzieli kod z Halfrigiem, powiedział polski alert.
„Obserwujemy wzrost liczby tych ataków, w których przestępca wykorzystuje wiele etapów kampanii, aby dostosować i poprawić sukces” — dodaje Harr. „Wykorzystują techniki automatyzacji i uczenia maszynowego, aby identyfikować, co unika wykrycia, i modyfikować kolejne ataki, aby poprawić sukces”.
Rządy, dyplomaci, organizacje międzynarodowe i organizacje pozarządowe (NGO) powinny mieć się na baczności przed tym i innymi działaniami rosyjskiego szpiegostwa, zdaniem polskich organów bezpieczeństwa cybernetycznego.
„Służba Kontrwywiadu Wojskowego i CERT.PL zdecydowanie zalecają, aby wszystkie podmioty, które mogą znajdować się w obszarze zainteresowania aktora, wprowadziły zmiany konfiguracyjne, które zakłócą mechanizm dostarczania, który został wykorzystany w opisywanej kampanii” – poinformowali urzędnicy.
Powiązane z Rosją ataki na infrastrukturę Kanady
Oprócz ostrzeżeń ze strony polskich urzędników zajmujących się cyberbezpieczeństwem, w ciągu ostatniego tygodnia premier Kanady Justin Trudeau wydał publiczne oświadczenia na temat niedawnej fali Cyberataki powiązane z Rosją skierowane do kanadyjskiej infrastruktury, w tym ataki typu odmowa usługi na Hydro-Québec, zakład energetyczny, strona internetowa biura Trudeau, Port of Quebec, Bank Laurentian. Trudeau powiedział, że cyberataki są związane ze wsparciem Kanady dla Ukrainy.
"Kilka ataków typu „odmowa usługi” na rządowe strony internetowe, które zamknęły je na kilka godzin, nie skłoni nas do ponownego przemyślenia naszego jednoznacznego stanowiska, by robić wszystko, co konieczne, tak długo, jak trzeba, aby wesprzeć Ukrainę” – powiedział Trudeau. , według raportów.
Szef Canadian Center for Cyber Security, Sami Khoury, powiedział na konferencji prasowej w zeszłym tygodniu, że chociaż nie doszło do szkód w kanadyjskiej infrastrukturze, „zagrożenie jest realne”. dostęp do Kanadyjczyków, zapewnienie opieki zdrowotnej lub ogólnie obsługiwanie jakichkolwiek usług, bez których Kanadyjczycy nie mogą się obejść, musicie chronić swoje systemy” – powiedział Khoury. „Monitoruj swoje sieci. Zastosuj środki zaradcze”.
Rosyjska cyberprzestępczość trwa
Podczas gdy rosyjska inwazja na Ukrainę trwa już drugi rok, Mike Parkin z Vulcan Cyber mówi, że ostatnie kampanie nie powinny być zaskoczeniem.
„Społeczność zajmująca się cyberbezpieczeństwem obserwowała skutki i szkody uboczne wynikające z konfliktu na Ukrainie od samego początku i wiemy, że rosyjscy i prorosyjscy cyberprzestępcy byli aktywni przeciwko zachodnim celom” — mówi Parkin. “Biorąc pod uwagę poziomy aktywności cyberprzestępców, z którymi już mieliśmy do czynienia, [są to] tylko niektóre nowe narzędzia i nowe cele — oraz przypomnienie, aby upewnić się, że nasze zabezpieczenia są aktualne i odpowiednio skonfigurowane”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks
- :Jest
- $W GÓRĘ
- 7
- a
- O nas
- dostęp
- Stosownie
- aktywny
- działalność
- aktorzy
- w dodatku
- Dodaje
- zaawansowany
- Afryka
- przed
- Alarm
- Wszystkie kategorie
- już
- Ambasador
- i
- zjawić się
- Aplikuj
- kwiecień
- APT
- SĄ
- POWIERZCHNIA
- AS
- At
- atakować
- Ataki
- Władze
- Automatyzacja
- z powrotem
- Łazienka
- Bank
- BE
- za
- Uważa
- SZEF
- Bringing
- by
- Kalendarz
- Kampania
- Kampanie
- CAN
- Kanada
- Kanadyjczyk
- Kanadyjczycy
- który
- Spowodować
- centrum
- ceo
- łańcuch
- Zmiany
- kliknij
- kod
- Collateral
- jak
- Komunikacja
- społeczności
- społeczność
- kompromis
- Zagrożone
- Konferencja
- systemu
- konflikt
- kraje
- Para
- Kurs
- Kryteria
- krytyczny
- cyber
- bezpieczeństwo cybernetyczne
- cyberataki
- cyberprzestępczość
- CYBERPRZESTĘPCA
- Bezpieczeństwo cybernetyczne
- Ciemny
- Mroczne czytanie
- Data
- czynienia
- dostawa
- wykazać
- opisane
- wyznaczony
- detale
- Wykrywanie
- urządzenie
- trudny
- dyplomaci
- kierować
- Zakłócać
- dokumenty
- robi
- na dół
- pobieranie
- starania
- elektryczny
- e-maile
- osadzone
- podmioty
- szpiegostwo
- europejski
- Kraje europejskie
- Unia Europejska
- Każdy
- wyjaśnione
- fallout
- Znajomość
- kilka
- filet
- W razie zamówieenia projektu
- obcy
- świeży
- od
- gra
- ogólnie
- otrzymać
- będzie
- Rząd
- Zarządzanie
- haker
- Zdrowie
- Opieka zdrowotna
- Wysoki
- GODZINY
- HTTPS
- identyfikuje
- zidentyfikować
- wdrożenia
- podnieść
- ulepszenia
- in
- Włącznie z
- Zwiększać
- wskaźniki
- niesławny
- Informacja
- Infrastruktura
- przykład
- Inteligencja
- odsetki
- na świecie
- Internet
- dostęp do Internetu
- inwazja
- zaproszenie
- Wydany
- IT
- JEGO
- JAVASCRIPT
- jpg
- Justin
- Justin Trudeau
- znany
- Nazwisko
- uruchomić
- nauka
- poziomy
- LINK
- powiązany
- długo
- maszyna
- uczenie maszynowe
- zrobiony
- robić
- WYKONUJE
- malware
- Może..
- mechanizm
- Spotkanie
- Spełnia
- wiadomość
- Microsoft
- Wojsko
- zmodyfikowano
- modyfikować
- monitor
- jeszcze
- wielokrotność
- O imieniu
- prawie
- sieci
- Nowości
- aktualności
- NGO
- zauważyć
- of
- oferta
- Biurowe
- on
- trwający
- otwierany
- działać
- Zlecenia
- organizacji
- Inne
- strona
- część
- Przeszłość
- osobisty
- Personel
- plato
- Analiza danych Platona
- PlatoDane
- Polska
- Polski
- Wiadomości
- potencjał
- power
- premia
- premier
- prawidłowo
- chronić
- zapewniać
- publiczny
- Rage
- Czytający
- real
- uspokajający
- niedawny
- polecić
- związane z
- raport
- Zgłoszone
- run
- Rosja
- Rosyjski
- s
- Powiedział
- mówią
- druga
- bezpieczeństwo
- widzenie
- wybrany
- usługa
- Usługi
- zestaw
- Akcje
- powinien
- bok
- ponieważ
- witryna internetowa
- SolarWinds
- kilka
- Źródło
- etapy
- rozpoczęty
- oświadczenia
- Zjednoczone
- przechowywany
- kolejny
- sukces
- udany
- Dostawa
- łańcuch dostaw
- wsparcie
- wsparcie
- niespodzianka
- systemy
- trwa
- cel
- cele
- zespół
- Techniki
- mówi
- że
- Połączenia
- Im
- Te
- groźba
- podmioty grożące
- trzy
- poprzez
- czas
- czasy
- wyczucie czasu
- do
- razem
- narzędzie
- narzędzia
- Trudeau
- Ukraina
- unia
- us
- posługiwać się
- użyteczność
- wykorzystuje
- Ve
- Ofiara
- Wulkan
- wynagrodzenie
- ostrzeżenie
- oglądania
- Strona internetowa
- strony internetowe
- tydzień
- DOBRZE
- Western
- Co
- Co to jest
- który
- Podczas
- cały
- w
- bez
- Praca
- pracować razem
- by
- napisany
- rok
- lat
- You
- Twój
- zefirnet
