Ca parte a invaziei în curs a Ucrainei, serviciile secrete ruse au apelat din nou la serviciile grupului de hackeri Nobelium/APT29, de data aceasta pentru a spiona ministerele de externe și diplomații din statele membre NATO, precum și alte ținte din Uniunea Europeană și Africa. .
Momentul se potrivește, de asemenea, cu o serie de atacuri asupra infrastructurii canadiane, despre care se crede că ar fi, de asemenea, legată de Rusia.
Serviciul Militar Polonez de Contrainformații și echipa CERT din Polonia au emis o alertă pe 13 aprilie, împreună cu indicatori de compromis, avertizând potențialele ținte ale campaniei de spionaj despre amenințare. Nobeliu, așa cum grupul este desemnat de Microsoft, numit și APT29 de Mandiant, nu este nou în jocul de spionaj al statului național, grupul a fost în spatele infamului Atacul SolarWinds la lanțul de aprovizionare acum aproape trei ani.
Acum, APT29 a revenit cu un set complet nou de instrumente malware și ordine de marș pentru a se infiltra în corpul diplomatic al țărilor care susțin Ucraina, a explicat armata poloneză și alerta CERT.
APT29 se întoarce cu noi comenzi
În fiecare caz, amenințarea persistentă avansată (APT) își începe atacul cu un e-mail de tip spear-phishing bine conceput, conform alertei poloneze.
„E-mailuri care uzurpa identitatea ambasadelor țărilor europene au fost trimise personalului selectat de la posturile diplomatice”, au explicat autoritățile. „Corespondența conținea o invitație la o întâlnire sau de a lucra împreună la documente.”
Mesajul îl va direcționa apoi pe destinatar să facă clic pe un link sau să descarce un PDF pentru a accesa calendarul ambasadorului sau să obțină detalii despre întâlnire - ambele trimit ținte către un site rău intenționat încărcat cu „scriptul de semnătură” al grupului de amenințări, pe care raportul îl identifică ca fiind „Invidios”.
"Am„T utilizează tehnica de contrabandă HTML – prin care un fișier rău intenționat plasat pe pagină este decodat folosind JavaScript atunci când pagina este deschisă și apoi descărcat pe dispozitivul victimei”, au adăugat autoritățile poloneze. „Acest lucru face ca fișierul rău intenționat să fie mai dificil de detectat pe partea serverului unde este stocat.”
Site-ul rău intenționat trimite, de asemenea, țintelor un mesaj prin care le asigură că au descărcat fișierul corect, se arată în alerta.
„Atacurile de tip spear-phishing au succes atunci când comunicările sunt bine scrise, folosesc informații personale pentru a demonstra familiaritatea cu ținta și par să provină dintr-o sursă legitimă”, a declarat Patrick Harr, CEO al SlashNext, pentru Dark Reading despre campanie. „Această campanie de spionaj îndeplinește toate criteriile de succes.”
O e-mail de phishing, de exemplu, și-a dat identitatea ambasadei Poloniei și, în mod interesant, pe parcursul campaniei observate, instrumentul Envyscout a fost modificat de trei ori cu îmbunătățiri de ofuscare, au remarcat autoritățile poloneze.
Odată compromis, grupul folosește versiuni modificate ale programului de descărcare Snowyamber, Halfrig, care rulează Greva de cobalt ca cod încorporat și Quarterrig, care partajează codul cu Halfrig, a spus alerta poloneză.
„Observăm o creștere a acestor atacuri în care actorul rău folosește mai multe etape într-o campanie pentru a ajusta și îmbunătăți succesul”, adaugă Harr. „Ei folosesc tehnici de automatizare și de învățare automată pentru a identifica ceea ce eludează detectarea și pentru a modifica atacurile ulterioare pentru a îmbunătăți succesul.”
Potrivit autorităților poloneze de securitate cibernetică, guvernele, diplomații, organizațiile internaționale și organizațiile neguvernamentale (ONG-uri) ar trebui să fie în alertă pentru acest lucru și alte eforturi de spionaj rusești.
„Serviciul de contrainformații militare și CERT.PL recomandă insistent ca toate entitățile care se pot afla în zona de interes a actorului să implementeze modificări de configurare pentru a perturba mecanismul de livrare care a fost utilizat în campania descrisă”, au spus oficialii.
Atacurile legate de Rusia asupra infrastructurii Canadei
Pe lângă avertismentele oficialilor polonezi de securitate cibernetică, săptămâna trecută, prim-ministrul Canadei Justin Trudeau a făcut declarații publice despre o serie recentă de Atacurile cibernetice legate de Rusia care vizează infrastructura canadiană, inclusiv atacuri de negare a serviciilor pe hidro-Québec, utilitate electrică, site-ul pentru biroul lui Trudeau, Portul de Quebec, și Banca Laurentiană. Trudeau a spus că atacurile cibernetice sunt legate de sprijinul de către Canada a Ucrainei.
Câteva atacuri de denial-of-service asupra site-urilor web guvernamentale, care le distrug timp de câteva ore, nu ne vor determina să ne regândim poziția fără echivoc de a face tot ce este necesar, atâta timp cât este nevoie pentru a sprijini Ucraina”, a spus Trudeau. , conform rapoartelor.
Şeful Centrului Canadian pentru Securitate Cibernetică, Sami Khoury, a declarat, în cadrul unei conferinţe de presă săptămâna trecută, că, deşi nu s-au produs daune infrastructurii Canadei, „ameninţarea este reală.” „Dacă rulaţi sistemele critice care alimentează comunităţile noastre, oferă internetul. acces la canadieni, oferiți asistență medicală sau, în general, operați oricare dintre serviciile de care canadienii nu se pot lipsi, trebuie să vă protejați sistemele”, a spus Khoury. „Monitorizați-vă rețelele. Aplicați atenuări.”
Eforturile Rusiei în materie de criminalitate informatică continuă
Pe măsură ce invazia Ucrainei de către Rusia continuă în al doilea an, Mike Parkin de la Vulcan Cyber spune că campaniile recente nu ar trebui să fie o surpriză.
„Comunitatea de securitate cibernetică a urmărit consecințele și daunele colaterale din cauza conflictului din Ucraina de când a început și știm că actorii amenințărilor ruși și pro-ruși au fost activi împotriva țintelor occidentale.” spune Parkin. „Având în vedere nivelurile de activitate infracțională cibernetică cu care ne confruntam deja, [acestea sunt] doar câteva instrumente noi și ținte noi – și un memento pentru a ne asigura că apărările noastre sunt actualizate și configurate corespunzător.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks
- :este
- $UP
- 7
- a
- Despre Noi
- acces
- Conform
- activ
- activitate
- actori
- adăugat
- Adaugă
- avansat
- Africa
- împotriva
- Alerta
- TOATE
- deja
- Ambasador
- și
- apărea
- Aplică
- Aprilie
- APT
- SUNT
- ZONĂ
- AS
- At
- ataca
- Atacuri
- Autoritățile
- Automatizare
- înapoi
- Rău
- Bancă
- BE
- în spatele
- credea
- BOSS
- Aducere
- by
- Calendar
- Campanie
- Campanii
- CAN
- Canada
- canadian
- canadieni
- pasă
- Provoca
- centru
- CEO
- lanţ
- Modificări
- clic
- cod
- Colateral
- cum
- Comunicații
- Comunități
- comunitate
- compromis
- compromis
- Conferință
- Configuraţie
- conflict
- țări
- Cuplu
- Curs
- Criteriile de
- critic
- Cyber
- securitate cibernetică
- atacuri cibernetice
- criminalităţii cibernetice
- CYBERCRIMINAL
- Securitate cibernetică
- Întuneric
- Lectură întunecată
- Data
- abuzive
- livrare
- demonstra
- descris
- desemnat
- detalii
- Detectare
- dispozitiv
- dificil
- diplomați
- direcționa
- distruge
- documente
- face
- jos
- Descarca
- Eforturile
- electric
- e-mailuri
- încorporat
- entități
- spionaj
- european
- Tari europene
- Uniunea Europeana
- Fiecare
- a explicat
- Fallout
- Familiaritate
- puțini
- Fișier
- Pentru
- străin
- proaspăt
- din
- joc
- în general
- obține
- merge
- Guvern
- grup
- hacker
- Sănătate
- Sănătate
- Înalt
- ORE
- HTTPS
- identifică
- identifica
- punerea în aplicare a
- îmbunătăţi
- îmbunătățiri
- in
- Inclusiv
- Crește
- Indicatorii
- infam
- informații
- Infrastructură
- instanță
- Inteligență
- interes
- Internațional
- Internet
- acces la internet
- invazie
- invitație
- Emis
- IT
- ESTE
- JavaScript
- jpg
- Justin
- Justin Trudeau
- cunoscut
- Nume
- lansa
- învăţare
- nivelurile de
- LINK
- legate de
- Lung
- maşină
- masina de învățare
- făcut
- face
- FACE
- malware
- Mai..
- mecanism
- Reuniunea
- se intalneste
- mesaj
- Microsoft
- Militar
- modificată
- modifica
- monitor
- mai mult
- multiplu
- Numit
- aproape
- rețele
- Nou
- ştiri
- ONG-urile
- notat
- of
- oferi
- Birou
- on
- în curs de desfășurare
- deschis
- funcionar
- comenzilor
- organizații
- Altele
- pagină
- parte
- trecut
- personal
- Personal
- Plato
- Informații despre date Platon
- PlatoData
- Polonia
- Poloneză
- postări
- potenţial
- putere
- Prim
- primul ministru
- cum se cuvine
- proteja
- furniza
- public
- Furie
- Citind
- real
- liniştitor
- recent
- recomanda
- legate de
- raportează
- Raportat
- Alerga
- Rusia
- Rusă
- s
- Said
- spune
- Al doilea
- securitate
- vedere
- selectate
- serviciu
- Servicii
- set
- Acțiuni
- să
- parte
- întrucât
- teren
- SolarWinds
- unele
- Sursă
- Stadiile
- început
- Declarații
- Statele
- stocate
- ulterior
- succes
- de succes
- livra
- lanțului de aprovizionare
- a sustine
- de susținere
- surpriză
- sisteme
- ia
- Ţintă
- obiective
- echipă
- tehnici de
- spune
- acea
- Lor
- Acestea
- amenințare
- actori amenințători
- trei
- de-a lungul
- timp
- ori
- sincronizare
- la
- împreună
- instrument
- Unelte
- Trudeau
- Ucraina
- uniune
- us
- utilizare
- utilitate
- utilizează
- Ve
- Victimă
- vulcanian
- salarizare
- de avertizare
- vizionarea
- website
- site-uri web
- săptămână
- BINE
- Vestic
- Ce
- Ce este
- care
- în timp ce
- întreg
- cu
- fără
- Apartamente
- lucram impreuna
- ar
- scris
- an
- ani
- Tu
- Ta
- zephyrnet
