В рамках своего продолжающегося вторжения в Украину российская разведка снова заручилась услугами хакерской группы Nobelium/APT29, на этот раз для шпионажа за министерствами иностранных дел и дипломатами из стран-членов НАТО, а также за другими целями в Европейском Союзе и Африке. .
Время также совпадает с волной атак на канадскую инфраструктуру, которые, как полагают, также связаны с Россией.
Польская служба военной контрразведки и группа CERT в Польше 13 апреля опубликовали предупреждение, а также признаки компрометации, предупредив потенциальных целей шпионской кампании об угрозе. Нобелий, так как группа обозначена Microsoft, также называемая APT29 от Mandiant, не новичок в шпионской игре за национальное государство, группа стояла за печально известной Атака цепочки поставок SolarWinds почти три года назад.
Теперь APT29 вернулся с совершенно новым набором вредоносных инструментов и сообщил о приказах проникнуть в дипломатический корпус стран, поддерживающих Украину, пояснили польские военные и CERT.
APT29 вернулся с новыми заказами
Согласно польскому предупреждению, в каждом случае продвинутая постоянная угроза (APT) начинает свою атаку с хорошо продуманного фишингового электронного письма.
«Электронные письма, выдающие себя за посольства европейских стран, были отправлены избранным сотрудникам дипломатических постов», — пояснили власти. «В переписке содержалось приглашение на встречу или на совместную работу над документами».
Затем в сообщении получателю будет предложено щелкнуть ссылку или загрузить PDF-файл, чтобы получить доступ к календарю посла, или получить информацию о встрече — и то, и другое отправляет цели на вредоносный сайт, загруженный «скриптом подписи» группы угроз, который в отчете определяется как «Энвискаут».
"Он использует технику контрабанды HTML — вредоносный файл, размещенный на странице, декодируется с помощью JavaScript при открытии страницы, а затем загружается на устройство жертвы», — добавили польские власти. «Это затрудняет обнаружение вредоносного файла на стороне сервера, где он хранится».
Вредоносный сайт также отправляет целям сообщение, уверяя их, что они загрузили правильный файл, говорится в предупреждении.
«Атаки целевого фишинга успешны, когда сообщения хорошо написаны, используют личную информацию, чтобы продемонстрировать знакомство с целью, и кажется, что они исходят из законного источника», — говорит Патрик Харр, генеральный директор SlashNext, о кампании Dark Reading. «Эта шпионская кампания отвечает всем критериям успеха».
один фишинговая электронная почта, например, выдавал себя за посольство Польши, и, что интересно, в ходе наблюдаемой кампании инструмент Envyscout трижды дорабатывался с улучшениями обфускации, отметили польские власти.
После взлома группа использует модифицированные версии загрузчика Snowyamber, Halfrig, который запускает Кобальт Страйк как встроенный код, и Quarterrig, который использует тот же код, что и Halfrig, говорится в польском предупреждении.
«Мы наблюдаем рост числа таких атак, когда злоумышленник использует несколько этапов кампании для корректировки и улучшения успеха», — добавляет Харр. «Они используют методы автоматизации и машинного обучения, чтобы определить, что ускользает от обнаружения, и модифицировать последующие атаки для повышения успеха».
По словам польских органов кибербезопасности, правительства, дипломаты, международные организации и неправительственные организации (НПО) должны быть в состоянии повышенной готовности к этому и другим шпионским усилиям России.
«Служба военной контрразведки и CERT.PL настоятельно рекомендуют всем организациям, которые могут находиться в зоне интересов злоумышленника, внести изменения в конфигурацию, чтобы нарушить механизм доставки, который использовался в описанной кампании», — заявили официальные лица.
Связанные с Россией атаки на инфраструктуру Канады
Помимо предупреждений со стороны польских чиновников по кибербезопасности, на прошлой неделе премьер-министр Канады Джастин Трюдо сделал публичные заявления о недавней волне Кибератаки, связанные с Россией нацелены на канадскую инфраструктуру, в том числе атак типа «отказ в обслуживании» на гидро-Квебек, электроэнергетическая компания, веб-сайт офиса Трюдо, порт Квебеки Лаврентьев банк. Трюдо заявил, что кибератаки связаны с поддержкой Канадой Украины.
Пара атак типа «отказ в обслуживании» на правительственные веб-сайты, которые отключили их на несколько часов, не заставят нас переосмыслить нашу недвусмысленную позицию делать все возможное, пока это необходимо для поддержки Украины», — сказал Трюдо. , по сообщениям.
Глава Канадского центра кибербезопасности Сами Хури заявил на пресс-конференции на прошлой неделе, что, хотя инфраструктуре Канады не было нанесено никакого ущерба, «угроза реальна». доступ к канадцам, предоставление медицинских услуг или предоставление любых услуг, без которых канадцы не могут обойтись, вы должны защищать свои системы», — сказал Хури. «Контролируйте свои сети. Применить меры».
Усилия России по борьбе с киберпреступностью нарастают
Поскольку вторжение России в Украину продолжается уже второй год, Майк Паркин из Vulcan Cyber говорит, что недавние кампании вряд ли должны стать сюрпризом.
«Сообщество по кибербезопасности следит за последствиями и побочным ущербом от конфликта в Украине с самого начала, и мы знаем, что российские и пророссийские субъекты угроз активно действуют против западных целей», — говорит Паркин. “Учитывая уровни киберпреступной активности, с которыми мы уже сталкивались, [это] всего лишь некоторые новые инструменты и новые цели — и напоминание о том, что наши средства защиты обновлены и правильно настроены».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks
- :является
- $UP
- 7
- a
- О нас
- доступ
- По
- активный
- деятельность
- актеры
- добавленный
- Добавляет
- продвинутый
- Африка
- против
- Оповещение
- Все
- уже
- посол
- и
- появиться
- Применить
- апрель
- APT
- МЫ
- ПЛОЩАДЬ
- AS
- At
- атаковать
- нападки
- Власти
- автоматизация
- назад
- Плохой
- Банка
- BE
- за
- распространенной
- Босс
- Приведение
- by
- Календарь
- Кампания
- Кампании
- CAN
- Канада
- канадские
- канадцы
- заботится
- Вызывать
- центр
- Генеральный директор
- цепь
- изменения
- нажмите на
- код
- Залог
- как
- Связь
- Сообщества
- сообщество
- скомпрометированы
- Ослабленный
- Конференция
- Конфигурация
- конфликт
- страны
- Пара
- "Курс"
- Критерии
- критической
- кибер-
- информационная безопасность
- кибератаки
- киберпреступности
- КИБЕРПРЕСТУПНИК
- Информационная безопасность
- темно
- Темное чтение
- Время
- занимавшийся
- поставка
- демонстрировать
- описано
- назначенный
- подробнее
- обнаружение
- устройство
- трудный
- дипломаты
- направлять
- срывать
- Документация
- дело
- вниз
- скачать
- усилия
- Электрический
- Писем
- встроенный
- лиц
- шпионаж
- Европейская кухня
- европейские страны
- Европейский Союз
- Каждая
- объяснены
- осадки
- фамильярность
- несколько
- Файл
- Что касается
- иностранный
- свежий
- от
- игра
- в общем
- получить
- будет
- Правительство
- группы
- хакер
- Медицина
- Товары для здоровья
- High
- ЧАСЫ
- HTTPS
- идентифицирует
- определения
- осуществлять
- улучшать
- улучшение
- in
- В том числе
- Увеличение
- индикаторы
- позорный
- информация
- Инфраструктура
- пример
- Интеллекта
- интерес
- Мультиязычность
- Интернет
- доступ в Интернет
- вторжение
- приглашение
- Выпущен
- IT
- ЕГО
- JavaScript
- JPG
- Джастин
- Джастин Трюдо
- известный
- Фамилия
- запуск
- изучение
- уровни
- LINK
- связанный
- Длинное
- машина
- обучение с помощью машины
- сделанный
- сделать
- ДЕЛАЕТ
- вредоносных программ
- Май..
- механизм
- заседания
- Соответствует
- сообщение
- Microsoft
- военный
- модифицировало
- изменять
- монитор
- БОЛЕЕ
- с разными
- Названный
- почти
- сетей
- Новые
- Новости
- НПО
- отметил,
- of
- предлагают
- Офис
- on
- постоянный
- открытый
- работать
- заказы
- организации
- Другое
- страница
- часть
- мимо
- личного
- Персонал
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Польша
- Польский
- Блог
- потенциал
- мощностью
- Простое число
- Премьер-министр
- должным образом
- для защиты
- обеспечивать
- что такое варган?
- Rage
- Reading
- реальные
- обнадеживающим
- последний
- рекомендовать
- Связанный
- отчету
- Сообщается
- Run
- Россия
- русский
- s
- Сказал
- говорит
- Во-вторых
- безопасность
- видя
- выбранный
- обслуживание
- Услуги
- набор
- Акции
- должен
- сторона
- с
- сайте
- SolarWinds
- некоторые
- Источник
- этапы
- и политические лидеры
- отчетность
- Области
- хранить
- последующее
- успех
- успешный
- поставка
- цепочками поставок
- поддержка
- поддержки
- сюрприз
- системы
- принимает
- цель
- направлена против
- команда
- снижения вреда
- говорит
- который
- Ассоциация
- Их
- Эти
- угроза
- актеры угрозы
- три
- по всему
- время
- раз
- синхронизация
- в
- вместе
- инструментом
- инструменты
- Трюдо
- Украина
- союз
- us
- использование
- утилита
- использует
- Ve
- Жертва
- Вулкан
- заработная плата
- предупреждение
- наблюдение
- Вебсайт
- веб-сайты
- неделя
- ЧТО Ж
- западный
- Что
- Что такое
- который
- в то время как
- все
- без
- Работа
- работать вместе
- бы
- письменный
- год
- лет
- Ты
- ВАШЕ
- зефирнет