Злоумышленники SolarWinds используют BMW, чтобы шпионить за дипломатами

Поддерживаемая Россией группа, стоящая за печально известной атакой SolarWinds, нацелена на «удивительное количество» иностранных дипломатов, работающих в посольствах на Украине, с помощью приманок, которые носят немного более личный характер, чем традиционные политические методы, которые обычно используются, чтобы побудить их перейти по вредоносным ссылкам.

Исследователи из подразделения 42 компании Palo Alto Networks наблюдали за группой, которую они отслеживают как Скрытая Медведица но который более известен как Nobelium/APT29 — средство передвижения.

Первоначальной приманкой в ​​кампании, судя по всему, была легальная рекламная листовка о продаже подержанного седана BMW в Киеве, которую дипломат из министерства иностранных дел Польши раздавал различным посольствам. Хотя это кажется довольно невинным, продажа надежного автомобиля проверенным дипломатом, особенно в таком охваченном войной регионе, как Украина, определенно может привлечь внимание вновь прибывшего на место происшествия, отмечают исследователи.

Это то, что Cloaked Ursa восприняла как возможность, перепрофилировав флаер для создания своего собственного незаконного флаера, который группа разослала в несколько дипломатических миссий две недели спустя в качестве приманки в своей кампании по распространению вредоносного ПО. Группа включила в сообщение вредоносную ссылку, заявив, что там жертвы смогут найти больше фотографий автомобиля. Жертвы находят не только фотографии, если нажимают на ссылку, которая незаметно запускает вредоносное ПО в фоновом режиме, пока выбранное изображение отображается на экране жертвы.

Полезной нагрузкой кампании является вредоносное ПО на основе JavaScript, которое предоставляет злоумышленникам готовый к шпионажу бэкдор в систему жертвы и возможность загружать дальнейший вредоносный код через соединение управления и контроля (C2).

Усовершенствованная постоянная угроза (APT) продемонстрировала преднамеренность создания своего списка целей, используя общедоступные адреса электронной почты посольства примерно для 80% целевых жертв и неопубликованные адреса электронной почты, не найденные в поверхностной сети Интернет для остальных 20%. По мнению Unit 42, это, скорее всего, «чтобы максимизировать их доступ к нужным сетям».

Исследователи заметили, что Cloaked Ursa проводила кампанию против 22 из 80 иностранных миссий в Украине, но фактическое количество целей, вероятно, выше, говорят они.

«Это ошеломляет масштабы того, что обычно представляет собой узкомасштабные и тайные операции APT», — заявили в Подразделении 42.

Изменение кибер-тактики вредоносных программ

Это стратегический поворот от использования предметов, связанных с их работой, в качестве приманки, как показали исследователи в блог опубликованной на этой неделе.

«Эти нетрадиционные приманки созданы для того, чтобы побудить получателя открыть насадку, исходя из его собственных потребностей и желаний, а не в рамках своих рутинных обязанностей», — пишут исследователи.

Исследователи предположили, что это изменение в тактике приманивания может стать шагом к увеличению фактора успеха кампании, чтобы скомпрометировать не только первоначальную цель, но и других членов той же организации, тем самым расширяя ее охват.

«Сами по себе приманки широко применимы в дипломатическом сообществе и, таким образом, могут быть отправлены и перенаправлены к большему числу целей», — написали они в сообщении. «Они также с большей вероятностью будут перенаправлены другим внутри организации, а также в дипломатическом сообществе».

Cloaked Ursa/Nobelium/APT29 — это спонсируемая государством группа, связанная со Службой внешней разведки России (СВР), пожалуй, наиболее известная благодаря Атака SolarWinds, которая началась с бэкдора, обнаруженного в декабре 2020 года, который распространился примерно на 18,000 XNUMX организаций через зараженные обновления программного обеспечения — и до сих пор оказывает влияние на всю цепочку поставок программного обеспечения.

С тех пор группа остается последовательно активной, организовав ряд нападки которые соответствуют общей геополитической позиции России против различные министерства иностранных дел и дипломатыи правительство США. Общим знаменателем всех инцидентов является сложность как в тактике, так и в разработке собственных вредоносных программ.

Unit 42 отметил сходство с другими известными кампаниями Cloaked Ursa, включая цели атаки, а также совпадение кода с другими известными вредоносными программами группы.

Смягчение кибератак APT на гражданское общество

Исследователи дали несколько советов людям в дипломатических миссиях, чтобы не стать жертвой изощренных и умных атак APT, таких как Cloaked Ursa. Один из них заключается в том, что администраторы обучают вновь назначенных дипломатов угрозам кибербезопасности в регионе до их прибытия.

Государственные и корпоративные служащие в целом всегда должны быть осторожны при загрузке, даже с, казалось бы, безобидных или законных сайтов, а также принимать дополнительные меры предосторожности для наблюдения за перенаправлением URL-адресов при использовании служб сокращения URL-адресов, поскольку это может быть признаком фишинговой атаки.

По мнению исследователей, людям также следует уделять пристальное внимание вложениям в электронных письмах, чтобы не стать жертвой фишинга. Им следует проверить типы расширений файлов, чтобы убедиться, что файл, который они открывают, является тем, который им нужен, избегая файлов с расширениями, которые не совпадают или пытаются скрыть природу файла.

Наконец, исследователи предположили, что дипломатические сотрудники, как правило, отключают JavaScript, что приведет к невозможности выполнения любого вредоносного ПО, основанного на этом языке программирования.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats