Связанные с Россией злоумышленники использовали как PysOps, так и копье-фишинг для таргетирования пользователей в течение нескольких месяцев в конце 2023 года в рамках многоволновой кампании, направленной на распространение дезинформации в Украине и кражу учетных данных Microsoft 365 по всей Европе.
Как обнаружили исследователи из ESET, операция, получившая название Operation Texonto, проходила в две отдельные волны: первая в октябре-ноябре 2023 года, а вторая в ноябре-декабре 2023 года. Кампания использовала разнообразные тактики Pysop и спам-рассылки в качестве основного метода распространения, как они выяснили. в блоге опубликовано 22 февраля.
Хронологически первая кампания представляла собой целевую фишинговую атаку, направленную против украинской оборонной компании в октябре 2023 года и агентства ЕС в ноябре 2023 года. Вторая представляла собой кампанию дезинформации, ориентированную в основном на украинские объекты и использующую темы, связанные с перебоями в отоплении, нехваткой лекарств и нехватка продовольствия — «типичная тема российской пропагандистской кампании», говорят исследователи.
Хотя у них были разные цели, оба использовали одинаковую сетевую инфраструктуру, и именно так ESET связала их. Затем, по небольшому повороту сюжета, URL-адрес, связанный с операцией «Тексонто», должен был рассылать типичный канадский аптечный спам в рамках отдельной кампании, которая произошла в январе.
Гибридная война России и Украины
Кампании угроз проводились пророссийскими субъектами угроз, такими как песчаный червь и Гамаредон in кибервойна с Украиной это запускать одновременно по данным ESET, с двухлетней наземной эксплуатацией. Песчаный червь, в частности использованные дворники в нарушить украинскую ИТ-инфраструктуру в начале войны, а Гамаредон в последнее время активизировал операции по кибершпионажу.
«Операция «Тексонто» демонстрирует еще одно использование технологий в попытке повлиять на войну», — написали исследователи в своем посте, хотя и не приписали операцию конкретному действующему лицу. «Мы нашли несколько типичных фальшивых страниц входа в Microsoft, но, что наиболее важно, было две волны писопов по электронной почте, вероятно, с целью повлиять на украинских граждан и заставить их поверить в победу России».
Операция Texonto также демонстрирует другие заметные отклонения от типичной вредоносной активности, отмечает Матье Фау, исследователь ESET, руководивший расследованием, в электронном письме Dark Reading.
«Что интересно в случае с операцией «Тексонто», так это то, что один и тот же субъект угрозы занимается как дезинформацией, так и целевыми фишинговыми кампаниями, в то время как большинство субъектов угрозы занимаются тем или другим», — отмечает он. «Таким образом, ясно, что это спланированная политическая операция, а не просто кто-то, публикующий дезинформацию в Интернете».
Кампания также демонстрирует отход от использования обычных каналов, таких как Telegram или фейковых веб-сайтов, для передачи вредоносных сообщений, отмечают исследователи.
Две разные волны
Первые признаки операции появились в октябре, когда сотрудники крупной украинской оборонной компании получили фишинговая электронная почта якобы из IT-отдела. В сообщении предупреждалось, что их почтовый ящик может быть удален и что для входа в систему им необходимо щелкнуть ссылку на веб-версию почтового ящика и войти в систему, используя свои учетные данные.
Вместо этого ссылка ведет на фишинговую страницу, которая, как предположили исследователи ESET из другого домена, принадлежащего операции, отправленной VirusTotal, была поддельной страницей входа в Microsoft для кражи учетных данных Microsoft 365, хотя они не смогли получить саму фишинговую страницу.
Следующей волной кампании стала первая операция писопов, в результате которой дезинформация электронные письма с вложениями в формате PDF как минимум нескольким сотням людей, работающих в украинском правительстве и энергетических компаниях, а также отдельным гражданам.
Однако, в отличие от ранее описанной фишинговой кампании, целью этих писем была чистая дезинформация, чтобы посеять сомнения в сознании украинцев, а не распространение вредоносных ссылок.
Электронные письма в рамках кампании информировали получателей о потенциальной нехватке продуктов питания, отопления и лекарств, причем одно из них зашло так далеко, что предложило съесть «голубиное ризотто» и даже предоставило фотографии живого и приготовленного голубя, которые «показывают, что эти документы были созданы намеренно». чтобы разозлить читателей», — отмечают исследователи.
«В целом сообщения соответствуют общим темам российской пропаганды», — написали они. «Они пытаются заставить украинский народ поверить, что из-за российско-украинской войны у него не будет лекарств, еды и отопления».
Второй этап волна писопса произошло в декабре и распространилось на другие европейские страны, со случайным набором из нескольких сотен целей, от украинского правительства до итальянского производителя обуви, но все еще написанного на украинском языке. Исследователи обнаружили в ходе кампании два разных шаблона электронных писем, в которых украинцам отправлялись саркастические поздравления с праздниками, что было еще одной попыткой унизить и обескуражить их.
Вредоносные домены и тактика защиты
Исследователи в основном отслеживали домены, чтобы не отставать от киберпреступников, участвовавших в операции Texonto, что привело их к некоторым интересным путям. Одна из них касалась, казалось бы, несвязанной, но типичной канадской аптечной спам-кампании, в которой использовался сервер электронной почты, управляемый злоумышленниками, «категория незаконного бизнеса, [которая] была очень популярна в российском сообществе киберпреступников», сказали они.
Другие доменные имена, связанные с кампанией, отражали более поздние текущие события, такие как смерть Алексея Навального, известного лидера российской оппозиции, который умер 16 февраля в тюрьме. Существование этих доменов, в том числе navalny-votes[.]net, navalny-votesmart[.]net и navalny-voting[.]net, «означает, что операция Texonto, вероятно, включает целевой фишинг или информационные операции, направленные против российских диссидентов». написали исследователи.
ESET включила в свой отчет ряд индикаторов компрометации (IOC), включая домены, адреса электронной почты и методы MITRE ATT&CK. Исследователи также рекомендуют организациям обеспечить сильные двухфакторная аутентификация — например, приложение для проверки подлинности телефона или физический ключ — для защиты от целевых фишинговых атак, нацеленных на Office 365, говорит Фау.
Что касается защиты от попыток злоумышленников распространить дезинформацию в Интернете, «лучшая защита — это использовать наше критическое мышление и не доверять какой-либо информации в Интернете», — добавляет он.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- :имеет
- :является
- :нет
- $UP
- 16
- 2023
- 22
- 7
- a
- в состоянии
- По
- через
- деятельность
- актеры
- адреса
- Добавляет
- против
- агентство
- Нацеленный
- Цель
- выравнивать
- причислены
- an
- и
- Другой
- любой
- приложение
- появившийся
- МЫ
- массив
- AS
- связанный
- At
- атаковать
- нападки
- попытки
- прочь
- BE
- , так как:
- было
- верить
- принадлежащий
- ЛУЧШЕЕ
- Немного
- Блог
- изоферменты печени
- бизнес
- но
- by
- пришел
- Кампания
- Кампании
- канадские
- случаев
- Категории
- каналы
- Граждане
- Очистить
- нажмите на
- Общий
- сообщество
- Компании
- Компания
- скомпрометированы
- приготовленный
- страны
- создали
- Полномочия
- критической
- Текущий
- кибер-
- киберпреступности
- киберпреступники
- темно
- Темное чтение
- Смерть
- Декабрь
- Защита
- Защита
- демонстрирует
- Кафедра
- описано
- DID
- умер
- различный
- открытый
- дезинформация
- принижать
- отчетливый
- распределение
- Разное
- do
- Документация
- домен
- ДОМЕННЫЕ ИМЕНА
- доменов
- сомневаюсь
- вниз
- наркотик
- Наркотики
- дублированный
- Рано
- есть
- усилие
- Писем
- занятых
- сотрудников
- включить
- конец
- энергетика
- занятый
- шпионаж
- EU
- Европе
- Европейская кухня
- европейские страны
- Даже
- События
- существование
- расширенный
- не настоящие
- далеко
- фев
- несколько
- First
- внимание
- питание
- Что касается
- найденный
- от
- цель
- будет
- Правительство
- Приветствую
- земля
- было
- Есть
- he
- Выходные
- Как
- Однако
- HTTPS
- сто
- Гибридный
- нелегальный
- важно
- in
- включены
- включает в себя
- В том числе
- индикаторы
- individual
- повлиять
- информация
- сообщил
- Инфраструктура
- вместо
- интересный
- Интернет
- ходе расследования,
- вовлеченный
- IT
- итальянский
- ЕГО
- саму трезвость
- январь
- всего
- Сохранить
- Основные
- запуск
- вести
- лидер
- Лиды
- наименее
- привело
- LINK
- связанный
- связи
- жизнью
- журнал
- Войти
- Главная
- в основном
- основной
- сделать
- злонамеренный
- ПРОИЗВОДИТЕЛЬ
- Май..
- означает
- сообщение
- Сообщения
- метод
- Microsoft
- против
- Мышление
- дезинформация
- месяцев
- БОЛЕЕ
- самых
- двигаться
- должен
- имена
- сеть
- следующий
- примечательный
- особенно
- отметил,
- Заметки
- Ноябрь
- Соблюдает
- произошло
- октябрь
- of
- Офис
- on
- ONE
- онлайн
- работать
- операция
- Операционный отдел
- оппозиция
- or
- заказ
- организации
- Другое
- наши
- за
- общий
- страница
- страниц
- пути
- Люди
- фаза
- фишинг
- фишинговая кампания
- Телефон
- Фото
- физический
- запланированный
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- участок
- Популярное
- После
- потенциал
- предварительно
- тюрьма
- вероятно
- пропагандой
- защиту
- обеспечение
- чисто
- случайный
- ассортимент
- ранжирование
- скорее
- читатели
- Reading
- получила
- последний
- недавно
- получатели
- рекомендовать
- отметила
- Связанный
- удален
- отчету
- исследователь
- исследователи
- Показали
- Россия
- Русско-украинская война
- русский
- s
- Сказал
- то же
- говорит
- Во-вторых
- по-видимому
- Отправить
- послать
- отдельный
- сервер
- несколько
- дефицит
- Шоу
- подпись
- аналогичный
- So
- уже
- некоторые
- Кто-то
- свиноматка
- спам
- конкретный
- Спонсоров
- распространение
- Распространение
- По-прежнему
- сильный
- представленный
- такие
- предлагать
- тактика
- цель
- целевое
- направлены
- направлена против
- снижения вреда
- технологии
- Telegram
- шаблоны
- чем
- который
- Ассоциация
- их
- Их
- темы
- тогда
- Там.
- Эти
- они
- те
- хоть?
- угроза
- актеры угрозы
- в
- Темы
- Доверие
- стараться
- пытается
- поворот
- два
- типичный
- Украина
- украинский
- украинцы
- URL
- использование
- используемый
- пользователей
- через
- версия
- очень
- с помощью
- войны
- предупреждал
- законопроект
- Wave
- волны
- we
- Web
- веб-сайты
- ЧТО Ж
- известный
- были
- разве
- Что
- Что такое
- когда
- который
- в то время как
- КТО
- будете
- выиграть
- в
- Выиграл
- работает
- письменный
- писал
- еще
- зефирнет