Napastnicy SolarWinds zwieszają BMW, aby szpiegować dyplomatów

Wspierana przez Rosję grupa stojąca za niesławnym atakiem SolarWinds celuje w „zdumiewającą liczbę” zagranicznych dyplomatów pracujących w ambasadach na Ukrainie za pomocą przynęt nieco bardziej osobistych niż tradycyjny polityczny zabieg stosowany zwykle w celu nakłonienia ich do kliknięcia złośliwych linków.

Naukowcy z jednostki 42 Palo Alto Networks obserwowali tę grupę, którą śledzą Zamaskowana Niedźwiedzica ale który jest lepiej znany jako Nobelium/APT29 — pojazd, którym można się poruszać.

Początkową przynętą kampanii było wykorzystanie legalnej ulotki sprzedającej używanego sedana BMW w Kijowie, która została rozesłana do różnych ambasad przez dyplomatę z polskiego Ministerstwa Spraw Zagranicznych. Choć wydaje się to całkiem niewinne, sprzedaż niezawodnego samochodu od zaufanego dyplomaty – szczególnie na obszarze rozdartym wojną, takim jak Ukraina – z pewnością może zwrócić uwagę nowo przybyłego na miejsce zdarzenia – zauważyli naukowcy.

Jest to coś, co Cloaked Ursa wykorzystała jako okazję, zmieniając przeznaczenie ulotki w celu stworzenia własnej, nielegalnej, którą grupa wysłała do wielu misji dyplomatycznych dwa tygodnie później jako przynętę w swojej kampanii złośliwego oprogramowania. Grupa umieściła w wiadomości złośliwy link, mówiący, że cele mogą tam znaleźć więcej zdjęć samochodu. Ofiary znajdują coś więcej niż tylko zdjęcia, jeśli klikną łącze, co powoduje ciche uruchomienie szkodliwego oprogramowania w tle, podczas gdy wybrany obraz jest wyświetlany na ekranie ofiary.

Ładunkiem tej kampanii jest złośliwe oprogramowanie oparte na języku JavaScript, które zapewnia atakującym gotowy do szpiegowania backdoor do systemu ofiary oraz możliwość załadowania dalszego szkodliwego kodu za pośrednictwem połączenia dowodzenia i kontroli (C2).

Zaawansowane trwałe zagrożenie (APT) wykazało, że z premedytacją wygenerowano listę celów, wykorzystując publicznie dostępne adresy e-mail ambasad w przypadku około 80% docelowych ofiar, a niepublikowane adresy e-mail, których nie można znaleźć w sieci WWW w przypadku pozostałych 20%. Według Jednostki 42 miało to prawdopodobnie „maksymalizować dostęp do pożądanych sieci”.

Badacze zaobserwowali, jak Zamaskowana Niedźwiedzica prowadziła kampanię przeciwko 22 z 80 misji zagranicznych na Ukrainie, ale stwierdzili, że rzeczywista liczba celów jest prawdopodobnie wyższa.

„To zdumiewający zakres w przypadku ogólnie wąskich i tajnych operacji APT” – twierdzi Jednostka 42.

Zmiana taktyki cybernetycznej złośliwego oprogramowania

Naukowcy ujawnili, że jest to strategiczny zwrot w stronę wykorzystywania tematów związanych z pracą jako przynęty blogu opublikowane w tym tygodniu.

„Te niekonwencjonalne przynęty mają na celu zachęcić odbiorcę do otwarcia przywiązania w oparciu o jego własne potrzeby i pragnienia, a nie w ramach rutynowych obowiązków” – napisali naukowcy.

Naukowcy zasugerowali, że ta zmiana taktyki przynęty może stanowić posunięcie mające na celu zwiększenie współczynnika sukcesu kampanii nie tylko w celu narażenia na szwank początkowego celu, ale także innych osób w tej samej organizacji, zwiększając w ten sposób jej zasięg.

„Same przynęty mają szerokie zastosowanie w społeczności dyplomatycznej, dzięki czemu można je wysyłać i przekazywać do większej liczby celów” – napisali w poście. „Jest też bardziej prawdopodobne, że zostaną przekazane innym osobom w organizacji, a także w społeczności dyplomatycznej”.

Cloaked Ursa/Nobelium/APT29 to sponsorowana przez państwo grupa powiązana z rosyjską Służbą Wywiadu Zagranicznego (SVR), prawdopodobnie najbardziej znana z Atak SolarWinds, które zaczęło się od backdoora wykrytego w grudniu 2020 r., który rozprzestrzenił się na około 18,000 XNUMX organizacji poprzez zainfekowane aktualizacje oprogramowania i nadal ma wpływ na cały łańcuch dostaw oprogramowania.

Od tego czasu grupa pozostaje nieprzerwanie aktywna, tworząc serię Ataki które są zgodne z ogólnym stanowiskiem geopolitycznym Rosji różnych ministerstw spraw zagranicznych i dyplomatówi rząd USA. Wspólnym mianownikiem wszystkich incydentów jest: a wyrafinowanie zarówno pod względem taktyki, jak i tworzenia niestandardowego złośliwego oprogramowania.

Jednostka 42 zauważyła podobieństwa do innych znanych kampanii Cloaked Ursa, w tym celów ataku, a kod pokrywał się z innym znanym złośliwym oprogramowaniem tej grupy.

Ograniczanie cyberataków APT na społeczeństwo obywatelskie

Badacze zaproponowali osobom przebywającym w misjach dyplomatycznych kilka rad, jak uniknąć ofiar wyrafinowanych i sprytnych ataków APT, takich jak Cloaked Ursa. Po pierwsze, przed ich przybyciem administratorzy szkolą nowo przydzielonych dyplomatów w zakresie zagrożeń cyberbezpieczeństwa w regionie.

Ogólnie rzecz biorąc, pracownicy instytucji rządowych lub firm powinni zawsze zachować ostrożność podczas pobierania plików, nawet z pozornie nieszkodliwych lub legalnych witryn, a także podjąć dodatkowe środki ostrożności, aby obserwować przekierowania adresów URL podczas korzystania z usług skracania adresów URL, ponieważ może to być cecha charakterystyczna ataku phishingowego.

Naukowcy twierdzą, że użytkownicy powinni także zwracać szczególną uwagę na załączniki do wiadomości e-mail, aby uniknąć ofiar phishingu. Powinni zweryfikować typy rozszerzeń plików, aby upewnić się, że otwierany plik jest tym, czego chcą, unikając plików z rozszerzeniami, które nie pasują lub próbują zaciemnić charakter pliku.

Na koniec badacze zasugerowali, aby pracownicy dyplomatyczni z reguły wyłączali JavaScript, co uniemożliwiłoby uruchomienie jakiegokolwiek złośliwego oprogramowania opartego na tym języku programowania.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats