Российские виновники SolarWinds запускают новый шквал шпионских кибератак

В рамках своего продолжающегося вторжения в Украину российская разведка снова заручилась услугами хакерской группы Nobelium/APT29, на этот раз для шпионажа за министерствами иностранных дел и дипломатами из стран-членов НАТО, а также за другими целями в Европейском Союзе и Африке. .

Время также совпадает с волной атак на канадскую инфраструктуру, которые, как полагают, также связаны с Россией.

Польская служба военной контрразведки и группа CERT в Польше 13 апреля опубликовали предупреждение, а также признаки компрометации, предупредив потенциальных целей шпионской кампании об угрозе. Нобелий, так как группа обозначена Microsoft, также называемая APT29 от Mandiant, не новичок в шпионской игре за национальное государство, группа стояла за печально известной Атака цепочки поставок SolarWinds почти три года назад.

Теперь APT29 вернулся с совершенно новым набором вредоносных инструментов и сообщил о приказах проникнуть в дипломатический корпус стран, поддерживающих Украину, пояснили польские военные и CERT.

APT29 вернулся с новыми заказами

Согласно польскому предупреждению, в каждом случае продвинутая постоянная угроза (APT) начинает свою атаку с хорошо продуманного фишингового электронного письма.

«Электронные письма, выдающие себя за посольства европейских стран, были отправлены избранным сотрудникам дипломатических постов», — пояснили власти. «В переписке содержалось приглашение на встречу или на совместную работу над документами».

Затем в сообщении получателю будет предложено щелкнуть ссылку или загрузить PDF-файл, чтобы получить доступ к календарю посла, или получить информацию о встрече — и то, и другое отправляет цели на вредоносный сайт, загруженный «скриптом подписи» группы угроз, который в отчете определяется как «Энвискаут».

"Он использует технику контрабанды HTML — вредоносный файл, размещенный на странице, декодируется с помощью JavaScript при открытии страницы, а затем загружается на устройство жертвы», — добавили польские власти. «Это затрудняет обнаружение вредоносного файла на стороне сервера, где он хранится».

Вредоносный сайт также отправляет целям сообщение, уверяя их, что они загрузили правильный файл, говорится в предупреждении.

«Атаки целевого фишинга успешны, когда сообщения хорошо написаны, используют личную информацию, чтобы продемонстрировать знакомство с целью, и кажется, что они исходят из законного источника», — говорит Патрик Харр, генеральный директор SlashNext, о кампании Dark Reading. «Эта шпионская кампания отвечает всем критериям успеха».

один фишинговая электронная почта, например, выдавал себя за посольство Польши, и, что интересно, в ходе наблюдаемой кампании инструмент Envyscout трижды дорабатывался с улучшениями обфускации, отметили польские власти.

После взлома группа использует модифицированные версии загрузчика Snowyamber, Halfrig, который запускает Кобальт Страйк как встроенный код, и Quarterrig, который использует тот же код, что и Halfrig, говорится в польском предупреждении.

«Мы наблюдаем рост числа таких атак, когда злоумышленник использует несколько этапов кампании для корректировки и улучшения успеха», — добавляет Харр. «Они используют методы автоматизации и машинного обучения, чтобы определить, что ускользает от обнаружения, и модифицировать последующие атаки для повышения успеха».
По словам польских органов кибербезопасности, правительства, дипломаты, международные организации и неправительственные организации (НПО) должны быть в состоянии повышенной готовности к этому и другим шпионским усилиям России.

«Служба военной контрразведки и CERT.PL настоятельно рекомендуют всем организациям, которые могут находиться в зоне интересов злоумышленника, внести изменения в конфигурацию, чтобы нарушить механизм доставки, который использовался в описанной кампании», — заявили официальные лица.

Связанные с Россией атаки на инфраструктуру Канады

Помимо предупреждений со стороны польских чиновников по кибербезопасности, на прошлой неделе премьер-министр Канады Джастин Трюдо сделал публичные заявления о недавней волне Кибератаки, связанные с Россией нацелены на канадскую инфраструктуру, в том числе атак типа «отказ в обслуживании» на гидро-Квебек, электроэнергетическая компания, веб-сайт офиса Трюдо, порт Квебеки Лаврентьев банк. Трюдо заявил, что кибератаки связаны с поддержкой Канадой Украины.

Пара атак типа «отказ в обслуживании» на правительственные веб-сайты, которые отключили их на несколько часов, не заставят нас переосмыслить нашу недвусмысленную позицию делать все возможное, пока это необходимо для поддержки Украины», — сказал Трюдо. , по сообщениям.

Глава Канадского центра кибербезопасности Сами Хури заявил на пресс-конференции на прошлой неделе, что, хотя инфраструктуре Канады не было нанесено никакого ущерба, «угроза реальна». доступ к канадцам, предоставление медицинских услуг или предоставление любых услуг, без которых канадцы не могут обойтись, вы должны защищать свои системы», — сказал Хури. «Контролируйте свои сети. Применить меры».

Усилия России по борьбе с киберпреступностью нарастают

Поскольку вторжение России в Украину продолжается уже второй год, Майк Паркин из Vulcan Cyber ​​говорит, что недавние кампании вряд ли должны стать сюрпризом.

«Сообщество по кибербезопасности следит за последствиями и побочным ущербом от конфликта в Украине с самого начала, и мы знаем, что российские и пророссийские субъекты угроз активно действуют против западных целей», — говорит Паркин. “Учитывая уровни киберпреступной активности, с которыми мы уже сталкивались, [это] всего лишь некоторые новые инструменты и новые цели — и напоминание о том, что наши средства защиты обновлены и правильно настроены».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Чеканка будущего с Эдриенн Эшли. Доступ здесь.
• Источник: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks