Informațiile ruse vizează victime din întreaga lume în atacuri cibernetice cu foc rapid

Hackerii de stat ruși desfășoară campanii de phishing în cel puțin nouă țări, răspândite pe patru continente. E-mailurile lor promovează afacerile oficiale ale guvernului și, dacă au succes, amenință nu doar datele organizaționale sensibile, ci și informațiile geopolitice de importanță strategică.

Un complot atât de sofisticat, cu mai multe direcții, ar putea fi realizat doar de un grup la fel de prolific precum Fancy Bear (alias APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 și multe alte pseudonime încă), pe care IBM X-Force le urmărește ca ITG05 în un nou raport.

Pe lângă momelile convingătoare cu tematică guvernamentală și trei noi variante de uși din spate personalizate, campania se remarcă cel mai mult prin informațiile pe care le vizează: Fancy Bear pare să țintească informații extrem de specifice, utile pentru guvernul rus.

Momeli guvernamentale pentru phishing

Fancy Bear a folosit cel puțin 11 momeli unice în campanii care vizează organizații din Argentina, Ucraina, Georgia, Belarus, Kazahstan, Polonia, Armenia, Azerbaidjan și Statele Unite.

Nalucile arată ca documente oficiale asociate guvernelor internaționale, care acoperă teme largi precum finanțele, infrastructura critică, angajamentele executive, securitatea cibernetică, securitatea maritimă, asistența medicală și producția industrială de apărare.

Unele dintre acestea sunt documente legitime, accesibile publicului. Alții, în mod interesant, par să fie interni anumitor agenții guvernamentale, ridicând întrebarea cum a pus mâna Fancy Bear asupra lor în primul rând.

„X-Force nu știe dacă ITG05 a compromis cu succes organizațiile usurate”, notează Claire Zaboeva, vânătoare de amenințări pentru IBM X-Force. „Deoarece este posibil ca ITG05 să folosească accesul neautorizat pentru a colecta documente interne, am notificat toate părțile imitate despre activitate înainte de publicare, ca parte a Politicii noastre de divulgare responsabilă.”

Ca alternativă, Fancy Bear/ITGO5 poate să fi imitat doar fișiere reale. „De exemplu, unele dintre documentele descoperite prezintă erori vizibile, cum ar fi scrierea greșită a numelor părților principale în ceea ce par a fi contracte oficiale ale guvernului”, a spus ea.

Un potențial motiv?

O altă calitate importantă a acestor naluci este că sunt destul de specifice.

Exemplele în limba engleză includ un document de politică de securitate cibernetică de la un ONG georgian și un itinerar din ianuarie care detaliază reuniunea și exercițiul Bell Buoy din 2024 (XBB24) pentru participanții la Grupul de lucru pentru transport maritim din Oceanul Indian Pacific al Marinei SUA (PACIOSWG).

Și există momeli cu tematică financiară: un document din Belarus cu recomandări pentru crearea condițiilor comerciale pentru a facilita întreprinderile interstatale până în 2025, în conformitate cu o inițiativă a Uniunii Economice Eurasiatice, un document de politică bugetară a Ministerului argentinian al Economiei care oferă „orientări strategice” pentru asistarea președinte cu politica economică națională și mai mult în acest sens.

„Este probabil că colectarea de informații sensibile cu privire la preocupările bugetare și postura de securitate a entităților globale este o țintă cu prioritate ridicată, având în vedere spațiul de misiune stabilit al ITG05”, a spus X-Force în raportul său despre campanie.

Argentina, de exemplu, a respins recent o invitație de a se alătura organizației comerciale BRICS (Brazilia, Rusia, India, China, Africa de Sud), așa că „este posibil ca ITG05 să caute să obțină un acces care ar putea oferi o perspectivă asupra priorităților guvernului argentinian. ”, a spus X-Force.

Activitate post-exploatare

Pe lângă specificul și aparența de legitimitate, atacatorii folosesc încă un truc psihologic pentru a capta victimele: prezentarea lor inițial doar cu o versiune neclară a documentului. Ca și în imaginea de mai jos, destinatarii pot vedea suficiente detalii pentru a vedea că aceste documente par oficiale și importante, dar nu suficient pentru a evita să fie nevoie să faceți clic pe ele.

Exemplu de document de naluca; Sursa: IBM

Când victimele de pe site-urile controlate de atacatori dau clic pentru a vedea documentele de momeală, ele descarcă o ușă din spate Python numită „Masepie”. Descoperit pentru prima dată în decembrie, este capabil să stabilească persistența într-o mașină Windows și să permită descărcarea și încărcarea fișierelor și executarea comenzilor arbitrare.

Unul dintre fișierele pe care Masepie le descarcă pe mașinile infectate este „Oceanmap”, un instrument bazat pe C# pentru executarea comenzilor prin Internet Message Access Protocol (IMAP). Varianta originală a Oceanmap – nu cea folosită aici – avea o funcționalitate de furt de informații care de atunci a fost eliminată și transferată în „Steelhook”, cealaltă încărcătură utilă descărcată de Masepie asociată acestei campanii.

Steelhook este un script PowerShell a cărui sarcină este să exfiltreze datele din Google Chrome și Microsoft Edge printr-un webhook.

Mai notabilă decât malware-ul său este acțiunea imediată a lui Fancy Bear. La fel de pentru prima dată de către Echipa Ucraineană de Răspuns la Urgență Informatică (CERT-UA), infecțiile Fancy Bear cu prima oră de aterizare pe o mașină victimă, descarcă ușile din spate și efectuează recunoaștere și mișcare laterală prin hash-uri NTLMv2 furate pentru atacuri releu.

Deci potențialele victime trebuie să acționeze rapid sau, mai bine, să se pregătească din timp pentru infecțiile lor. Ei pot face acest lucru urmând lista generală de recomandări a IBM: monitorizarea e-mail-urilor cu adrese URL furnizate de furnizorul de găzduire al lui Fancy Bear, FirstCloudIT și trafic IMAP suspect către servere necunoscute, abordând vulnerabilitățile sale preferate - cum ar fi CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – și multe altele.

„ITG05 va continua să stimuleze atacurile împotriva guvernelor mondiale și a aparatului lor politic pentru a oferi Rusiei o perspectivă avansată asupra deciziilor politice emergente”, au concluzionat cercetătorii.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks