Como parte de sua invasão em andamento na Ucrânia, a inteligência russa mais uma vez recrutou os serviços do grupo de hackers Nobelium/APT29, desta vez para espionar ministérios estrangeiros e diplomatas de países membros da OTAN, bem como outros alvos na União Europeia e na África. .
O momento também se encaixa com uma série de ataques à infraestrutura canadense, que também se acredita estar ligada à Rússia.
O Serviço de Contrainteligência Militar Polonês e a equipe do CERT na Polônia emitiram um alerta em 13 de abril, juntamente com indicadores de comprometimento, alertando potenciais alvos da campanha de espionagem sobre a ameaça. Nobélio, já que o grupo é designado pela Microsoft, também denominado APT29 por Mandiant, não é novidade no jogo de espionagem de estado-nação, o grupo estava por trás do infame Ataque à cadeia de suprimentos da SolarWinds quase três anos atrás.
Agora, o APT29 está de volta com um novo conjunto de ferramentas de malware e ordens de marcha relatadas para se infiltrar no corpo diplomático de países que apoiam a Ucrânia, explicaram os militares poloneses e o alerta do CERT.
APT29 está de volta com novos pedidos
Em todos os casos, a ameaça persistente avançada (APT) inicia seu ataque com um e-mail de spear phishing bem concebido, de acordo com o alerta polonês.
“E-mails se passando por embaixadas de países europeus foram enviados a funcionários selecionados em postos diplomáticos”, explicaram as autoridades. “A correspondência continha um convite para uma reunião ou para trabalharmos juntos em documentos.”
A mensagem direcionaria o destinatário a clicar em um link ou baixar um PDF para acessar o calendário do embaixador ou obter detalhes da reunião - ambos enviam os alvos para um site malicioso carregado com o “script de assinatura” do grupo de ameaças, que o relatório identifica como “Esquadrão da Inveja.”
"Eut utiliza a técnica de contrabando de HTML – por meio da qual um arquivo malicioso colocado na página é decodificado usando JavaScript quando a página é aberta e baixado no dispositivo da vítima”, acrescentaram as autoridades polonesas. “Isso torna o arquivo malicioso mais difícil de detectar no lado do servidor onde está armazenado.”
O site malicioso também envia aos alvos uma mensagem assegurando que eles baixaram o arquivo correto, disse o alerta.
“Os ataques de spear phishing são bem-sucedidos quando as comunicações são bem escritas, usam informações pessoais para demonstrar familiaridade com o alvo e parecem vir de uma fonte legítima”, disse Patrick Harr, CEO da SlashNext, ao Dark Reading sobre a campanha. “Esta campanha de espionagem atende a todos os critérios de sucesso.”
completa email de phishing, por exemplo, personificou a embaixada polonesa e, curiosamente, ao longo da campanha observada, a ferramenta Envyscout foi ajustada três vezes com melhorias na ofuscação, observaram as autoridades polonesas.
Uma vez comprometido, o grupo usa versões modificadas do downloader Snowyamber, Halfrig, que roda Ataque de cobalto como código embutido, e Quarterrig, que compartilha código com Halfrig, disse o alerta polonês.
“Estamos vendo um aumento desses ataques em que o malfeitor usa vários estágios em uma campanha para ajustar e melhorar o sucesso”, acrescenta Harr. “Eles empregam técnicas de automação e aprendizado de máquina para identificar o que está fugindo da detecção e modificar os ataques subsequentes para melhorar o sucesso.”
Governos, diplomatas, organizações internacionais e organizações não-governamentais (ONGs) devem estar em alerta máximo para este e outros esforços de espionagem russos, de acordo com as autoridades polonesas de segurança cibernética.
“O Serviço de Contrainteligência Militar e o CERT.PL recomendam fortemente que todas as entidades que possam estar na área de interesse do ator implementem mudanças de configuração para interromper o mecanismo de entrega que foi usado na campanha descrita”, disseram autoridades.
Ataques vinculados à Rússia na infraestrutura do Canadá
Além das advertências das autoridades polonesas de segurança cibernética, na semana passada, o primeiro-ministro do Canadá, Justin Trudeau, fez declarações públicas sobre uma recente onda de Ataques cibernéticos vinculados à Rússia voltado para infraestrutura canadense, incluindo ataques de negação de serviço na Hidro-Québec, concessionária de energia elétrica, o site do escritório de Trudeau, o Porto de Quebec e Banco Laurenciano. Trudeau disse que os ataques cibernéticos estão relacionados ao apoio do Canadá à Ucrânia.
"Alguns ataques de negação de serviço a sites do governo, derrubando-os por algumas horas, não nos farão repensar nossa posição inequívoca de fazer o que for preciso pelo tempo que for necessário para apoiar a Ucrânia”, disse Trudeau. , de acordo com relatórios.
O chefe do Centro Canadense de Segurança Cibernética, Sami Khoury, disse em uma coletiva de imprensa na semana passada que, embora não tenha havido danos à infraestrutura do Canadá, “a ameaça é real”. acesso aos canadenses, fornecer cuidados de saúde ou, em geral, operar qualquer um dos serviços que os canadenses não podem prescindir, você deve proteger seus sistemas”, disse Khoury. “Monitore suas redes. Aplique mitigações.”
Esforços de cibercrime da Rússia continuam
À medida que a invasão da Ucrânia pela Rússia avança em seu segundo ano, Mike Parkin, da Vulcan Cyber, diz que as campanhas recentes dificilmente devem ser uma surpresa.
“A comunidade de segurança cibernética tem observado as consequências e os danos colaterais do conflito na Ucrânia desde o início, e sabemos que os agentes de ameaças russos e pró-Rússia estavam ativos contra alvos ocidentais”, disse. Parkin diz. “Considerando os níveis de atividade cibercriminosa com os quais já estávamos lidando, [essas são] apenas algumas novas ferramentas e novos alvos – e um lembrete para garantir que nossas defesas estejam atualizadas e configuradas adequadamente.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks
- :é
- $UP
- 7
- a
- Sobre
- Acesso
- Segundo
- ativo
- atividade
- atores
- adicionado
- Adiciona
- avançado
- África
- contra
- Alertar
- Todos os Produtos
- já
- Embaixadora
- e
- aparecer
- Aplicar
- Abril
- APT
- SOMOS
- ÁREA
- AS
- At
- ataque
- Ataques
- Autoridades
- Automação
- em caminho duplo
- Mau
- Bank
- BE
- atrás
- Acredita
- CHEFE
- Trazendo
- by
- Calendário
- Campanha
- Campanhas
- CAN
- Localização: Canadá
- canadense
- Os canadenses
- Cuidado
- Causar
- Centro
- Chefe executivo
- cadeia
- Alterações
- clique
- código
- Colateral
- como
- Comunicações
- Comunidades
- comunidade
- compromisso
- Comprometido
- Conferência
- Configuração
- conflito
- países
- Casal
- Para
- critérios
- crítico
- cibernético
- cíber segurança
- ataques cibernéticos
- cibercrime
- CIBERCRIMINAL
- Cíber segurança
- Escuro
- Leitura escura
- Data
- lidar
- Entrega
- demonstrar
- descrito
- designado
- detalhes
- Detecção
- dispositivo
- difícil
- diplomatas
- diretamente
- perturbe
- INSTITUCIONAIS
- fazer
- down
- download
- esforços
- Elétrico
- e-mails
- incorporado
- entidades
- espionagem
- Europa
- Países europeus
- União Européia
- Cada
- explicado
- fallout
- Familiaridade
- poucos
- Envie o
- Escolha
- estrangeiro
- recentes
- da
- jogo
- geralmente
- ter
- vai
- Governo
- Grupo
- cabouqueiro
- Saúde
- Assistência médica
- Alta
- HORÁRIO
- HTTPS
- identifica
- identificar
- executar
- melhorar
- melhorias
- in
- Incluindo
- Crescimento
- indicadores
- infame
- INFORMAÇÕES
- Infraestrutura
- instância
- Inteligência
- interesse
- Internacionais
- Internet
- Acesso à internet
- invasão
- convite
- Emitido
- IT
- ESTÁ
- JavaScript
- jpg
- Justin
- Justin Trudeau
- conhecido
- Sobrenome
- lançamento
- aprendizagem
- níveis
- LINK
- ligado
- longo
- máquina
- aprendizado de máquina
- moldadas
- fazer
- FAZ
- malwares
- Posso..
- mecanismo
- reunião
- atende
- mensagem
- Microsoft
- Militar
- modificada
- modificar
- Monitore
- mais
- múltiplo
- Nomeado
- quase
- redes
- Novo
- notícias
- ONGs
- notado
- of
- oferecer
- Office
- on
- contínuo
- aberto
- operar
- ordens
- organizações
- Outros
- página
- parte
- passado
- pessoal
- Pessoal
- platão
- Inteligência de Dados Platão
- PlatãoData
- Polônia
- Polaco
- POSTAGENS
- potencial
- poder
- Prime
- primeiro ministro
- devidamente
- proteger
- fornecer
- público
- Rage
- Leitura
- reais
- tranquilizador
- recentemente
- recomendar
- relacionado
- Denunciar
- Informou
- Execute
- Rússia
- russo
- s
- Dito
- diz
- Segundo
- segurança
- visto
- selecionado
- serviço
- Serviços
- conjunto
- ações
- rede de apoio social
- lado
- desde
- local
- SolarWinds
- alguns
- fonte
- Estágio
- começado
- declarações
- Unidos
- armazenadas
- subseqüente
- sucesso
- bem sucedido
- supply
- cadeia de suprimentos
- ajuda
- solidário
- surpresa
- sistemas
- toma
- Target
- tem como alvo
- Profissionais
- técnicas
- conta
- que
- A
- Eles
- Este
- ameaça
- atores de ameaças
- três
- todo
- tempo
- vezes
- cronometragem
- para
- juntos
- ferramenta
- ferramentas
- Trudeau
- Ucrânia
- união
- us
- usar
- utilidade
- utiliza
- Ve
- Vítima
- vulcan
- salário
- aviso
- assistindo
- Site
- sites
- semana
- BEM
- Ocidental
- O Quê
- O que é a
- qual
- enquanto
- inteiro
- de
- sem
- Atividades:
- trabalhar juntos
- seria
- escrito
- ano
- anos
- Vocês
- investimentos
- zefirnet
