Поддерживаемая Россией группа, стоящая за печально известной атакой SolarWinds, нацелена на «удивительное количество» иностранных дипломатов, работающих в посольствах на Украине, с помощью приманок, которые носят немного более личный характер, чем традиционные политические методы, которые обычно используются, чтобы побудить их перейти по вредоносным ссылкам.
Исследователи из подразделения 42 компании Palo Alto Networks наблюдали за группой, которую они отслеживают как Скрытая Медведица но который более известен как Nobelium/APT29 — средство передвижения.
Первоначальной приманкой в кампании, судя по всему, была легальная рекламная листовка о продаже подержанного седана BMW в Киеве, которую дипломат из министерства иностранных дел Польши раздавал различным посольствам. Хотя это кажется довольно невинным, продажа надежного автомобиля проверенным дипломатом, особенно в таком охваченном войной регионе, как Украина, определенно может привлечь внимание вновь прибывшего на место происшествия, отмечают исследователи.
Это то, что Cloaked Ursa восприняла как возможность, перепрофилировав флаер для создания своего собственного незаконного флаера, который группа разослала в несколько дипломатических миссий две недели спустя в качестве приманки в своей кампании по распространению вредоносного ПО. Группа включила в сообщение вредоносную ссылку, заявив, что там жертвы смогут найти больше фотографий автомобиля. Жертвы находят не только фотографии, если нажимают на ссылку, которая незаметно запускает вредоносное ПО в фоновом режиме, пока выбранное изображение отображается на экране жертвы.
Полезной нагрузкой кампании является вредоносное ПО на основе JavaScript, которое предоставляет злоумышленникам готовый к шпионажу бэкдор в систему жертвы и возможность загружать дальнейший вредоносный код через соединение управления и контроля (C2).
Усовершенствованная постоянная угроза (APT) продемонстрировала преднамеренность создания своего списка целей, используя общедоступные адреса электронной почты посольства примерно для 80% целевых жертв и неопубликованные адреса электронной почты, не найденные в поверхностной сети Интернет для остальных 20%. По мнению Unit 42, это, скорее всего, «чтобы максимизировать их доступ к нужным сетям».
Исследователи заметили, что Cloaked Ursa проводила кампанию против 22 из 80 иностранных миссий в Украине, но фактическое количество целей, вероятно, выше, говорят они.
«Это ошеломляет масштабы того, что обычно представляет собой узкомасштабные и тайные операции APT», — заявили в Подразделении 42.
Изменение кибер-тактики вредоносных программ
Это стратегический поворот от использования предметов, связанных с их работой, в качестве приманки, как показали исследователи в блог опубликованной на этой неделе.
«Эти нетрадиционные приманки созданы для того, чтобы побудить получателя открыть насадку, исходя из его собственных потребностей и желаний, а не в рамках своих рутинных обязанностей», — пишут исследователи.
Исследователи предположили, что это изменение в тактике приманивания может стать шагом к увеличению фактора успеха кампании, чтобы скомпрометировать не только первоначальную цель, но и других членов той же организации, тем самым расширяя ее охват.
«Сами по себе приманки широко применимы в дипломатическом сообществе и, таким образом, могут быть отправлены и перенаправлены к большему числу целей», — написали они в сообщении. «Они также с большей вероятностью будут перенаправлены другим внутри организации, а также в дипломатическом сообществе».
Cloaked Ursa/Nobelium/APT29 — это спонсируемая государством группа, связанная со Службой внешней разведки России (СВР), пожалуй, наиболее известная благодаря Атака SolarWinds, которая началась с бэкдора, обнаруженного в декабре 2020 года, который распространился примерно на 18,000 XNUMX организаций через зараженные обновления программного обеспечения — и до сих пор оказывает влияние на всю цепочку поставок программного обеспечения.
С тех пор группа остается последовательно активной, организовав ряд нападки которые соответствуют общей геополитической позиции России против различные министерства иностранных дел и дипломатыи правительство США. Общим знаменателем всех инцидентов является сложность как в тактике, так и в разработке собственных вредоносных программ.
Unit 42 отметил сходство с другими известными кампаниями Cloaked Ursa, включая цели атаки, а также совпадение кода с другими известными вредоносными программами группы.
Смягчение кибератак APT на гражданское общество
Исследователи дали несколько советов людям в дипломатических миссиях, чтобы не стать жертвой изощренных и умных атак APT, таких как Cloaked Ursa. Один из них заключается в том, что администраторы обучают вновь назначенных дипломатов угрозам кибербезопасности в регионе до их прибытия.
Государственные и корпоративные служащие в целом всегда должны быть осторожны при загрузке, даже с, казалось бы, безобидных или законных сайтов, а также принимать дополнительные меры предосторожности для наблюдения за перенаправлением URL-адресов при использовании служб сокращения URL-адресов, поскольку это может быть признаком фишинговой атаки.
По мнению исследователей, людям также следует уделять пристальное внимание вложениям в электронных письмах, чтобы не стать жертвой фишинга. Им следует проверить типы расширений файлов, чтобы убедиться, что файл, который они открывают, является тем, который им нужен, избегая файлов с расширениями, которые не совпадают или пытаются скрыть природу файла.
Наконец, исследователи предположили, что дипломатические сотрудники, как правило, отключают JavaScript, что приведет к невозможности выполнения любого вредоносного ПО, основанного на этом языке программирования.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats
- :имеет
- :является
- :нет
- 000
- 2020
- 22
- 7
- 80
- a
- способность
- в состоянии
- О нас
- доступ
- По
- через
- активный
- фактического соединения
- адреса
- администраторы
- продвинутый
- совет
- Дела
- против
- выравнивать
- причислены
- всегда
- an
- и
- любой
- появившийся
- отношение
- APT
- МЫ
- ПЛОЩАДЬ
- около
- прибытие
- AS
- назначенный
- связанный
- At
- атаковать
- нападки
- внимание
- доступен
- избежать
- избегающий
- задняя дверь
- фон
- приманка
- основанный
- BE
- за
- не являетесь
- ЛУЧШЕЕ
- Лучшая
- Немного
- Блог
- BMW
- изоферменты печени
- широко
- но
- by
- Кампания
- Кампании
- CAN
- автомобиль
- осторожный
- цепь
- изменение
- нажмите на
- Закрыть
- код
- Общий
- сообщество
- скомпрометированы
- связи
- Корпоративное
- может
- Создайте
- изготовленный на заказ
- кибер-
- кибератаки
- Информационная безопасность
- Декабрь
- определенно
- предназначенный
- желанный
- дипломаты
- открытый
- дисплеев
- Дон
- загрузок
- рисовать
- Писем
- сотрудников
- обеспечивать
- особенно
- Даже
- выполнять
- Выполняет
- простирающийся
- расширение
- расширения
- дополнительно
- фактор
- достаточно
- Падение
- Файл
- Файлы
- Найдите
- Что касается
- иностранный
- найденный
- от
- далее
- Общие
- в общем
- порождать
- геополитический
- получить
- дает
- Правительство
- большой
- группы
- имеющий
- высший
- HTTPS
- if
- изображение
- Влияние
- in
- включены
- В том числе
- Увеличение
- позорный
- начальный
- невинный
- внутри
- вместо
- Интеллекта
- в
- IT
- ЕГО
- JavaScript
- Джобс
- JPG
- всего
- известный
- язык
- новее
- законный
- такое как
- Вероятно
- LINK
- связи
- Список
- загрузка
- вредоносных программ
- Совпадение
- Вопрос
- Максимизировать
- сообщение
- министерство
- миссиях
- БОЛЕЕ
- двигаться
- с разными
- природа
- потребности
- сетей
- Новые
- вновь
- нормально
- отметил,
- номер
- наблюдать
- of
- предложенный
- on
- ONE
- только
- открытый
- открытие
- Операционный отдел
- Возможность
- or
- организация
- организации
- Другое
- Другое
- общий
- собственный
- Пало-Альто
- часть
- ОПЛАТИТЬ
- Люди
- возможно
- личного
- фишинг
- фишинг-атака
- Фото
- Стержень
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Польский
- политический
- После
- Предварительный
- Программирование
- публично
- опубликованный
- достигать
- область
- Связанный
- складская
- остались
- исследователи
- Показали
- Правило
- Россия
- s
- Сказал
- sale
- то же
- поговорка
- сцена
- сфера
- экран
- по-видимому
- кажется
- выбранный
- послать
- Серии
- обслуживание
- Услуги
- должен
- показал
- сходство
- с
- Сайтов
- Software
- SolarWinds
- некоторые
- удалось
- сложный
- распространение
- и политические лидеры
- По-прежнему
- Стратегический
- предмет
- успех
- поставка
- цепочками поставок
- Поверхность
- система
- тактика
- взять
- цель
- целевое
- направлены
- направлена против
- чем
- который
- Ассоциация
- их
- Их
- сами
- тогда
- Там.
- Эти
- они
- этой
- На этой неделе
- угроза
- угрозы
- Через
- в
- трек
- традиционный
- Train
- надежных
- два
- Типы
- Украина
- не в состоянии
- нетрадиционный
- Ед. изм
- Updates
- URL
- us
- правительство США
- использование
- используемый
- через
- различный
- автомобиль
- проверить
- с помощью
- Жертва
- жертвы
- хотеть
- хочет
- законопроект
- Web
- неделя
- Недели
- ЧТО Ж
- Что
- когда
- который
- в то время как
- в
- работает
- бы
- писал
- зефирнет