Rysslandsrelaterade hotaktörer anställde både PysOps och riktade spam-attacker att rikta in sig på användare under flera månader i slutet av 2023 i en multi-wave-kampanj som syftar till att sprida felaktig information i Ukraina och stjäla Microsoft 365-uppgifter över hela Europa.
Operationen – kallad Operation Texonto – kom i två distinkta vågor, den första i oktober-november 2023 och den andra i november-december 2023, upptäckte forskare från ESET. Kampanjen använde en mångfald av pysoptaktik och skräppost som sin huvudsakliga distributionsmetod, avslöjade de i ett blogginlägg publicerad 22 feb.
Kronologiskt sett var den första kampanjen en spjutfiskeattack som riktade sig mot ett ukrainskt försvarsföretag i oktober 2023 och en EU-byrå i november 2023. Den andra var en desinformationskampanj som främst fokuserade på ukrainska mål med ämnen relaterade till uppvärmningsavbrott, drogbrist och matbrist - "typiska teman för rysk propagandarelaterad kampanj", sa forskarna.
Även om de hade olika syften använde båda liknande nätverksinfrastruktur, vilket är hur ESET kopplade ihop de två. Sedan, i lite av en plot twist, var en URL associerad med Operation Texonto att skicka typisk kanadensisk apoteksspam i en separat kampanj som inträffade i januari.
Hybridkrig mellan Ryssland och Ukraina
Hotkampanjer har använts av ryskanslutna hotaktörer som t.ex Sandworm och Gamaredon in ett cyberkrig med Ukraina alltså köra samtidigt med den tvååriga markdriften, enligt ESET. Sandmask särskilt använda torkare till störa ukrainsk IT-infrastruktur tidigt i kriget, medan Gamaredon nyligen har ökat cyberspionageverksamheten.
"Operation Texonto visar ännu en användning av teknik för att försöka påverka kriget", skrev forskarna i inlägget, även om de inte tillskrev operationen till en specifik aktör. "Vi hittade några typiska falska Microsoft-inloggningssidor men viktigast av allt, det fanns två vågor av pysops via e-post förmodligen för att försöka påverka ukrainska medborgare och få dem att tro att Ryssland kommer att vinna."
Operation Texonto visar också andra anmärkningsvärda avvikelser från typisk skadlig aktivitet, konstaterar Matthieu Faou, ESET-forskaren som leder utredningen, i ett mejl till Dark Reading.
"Det som är intressant i Operation Texonto-fallet är att samma hotaktör både är engagerad i desinformation och i spjutfiskekampanjer, medan de flesta hotaktörerna gör det ena eller det andra", konstaterar han. "Som sådan är det tydligt att det är en planerad pysop och inte bara någon som lägger upp felaktig information på Internet."
Kampanjen visar också ett steg bort från att använda vanliga kanaler som Telegram eller falska webbplatser för att förmedla skadliga meddelanden, noterade forskarna.
Två distinkta vågor
Det första tecknet på operationen kom i oktober när anställda som arbetade på ett stort ukrainskt försvarsföretag fick en phishing-e-post enligt uppgift från IT-avdelningen. Meddelandet varnade att deras brevlåda kan tas bort och att för att logga in måste de klicka på en länk till en webbversion av brevlådan och logga in med sina referenser.
Länken leder istället till en nätfiskesida, som ESET-forskare antog från en annan domän som tillhörde operationen som skickades till VirusTotal att det var en falsk Microsoft-inloggningssida för att stjäla Microsoft 365-uppgifter, även om de inte kunde hämta själva nätfiskesidan.
Nästa våg av kampanjen var den första pysops operation, som skickade desinformation e-postmeddelanden med en PDF-bilaga till minst några hundra personer som arbetar för den ukrainska regeringen och energibolag, samt enskilda medborgare.
I motsats till den tidigare beskrivna nätfiskekampanjen verkade emellertid målet med dessa e-postmeddelanden vara rent desinformation för att så tvivel hos ukrainare, snarare än att sprida skadliga länkar.
E-postmeddelanden i kampanjen informerade mottagarna om potentiell mat-, värme- och drogbrist, varav en gick så långt som att antyda att de äter "duvorisotto" och till och med tillhandahåller foton av en levande duva och en kokt duva som "visar att dessa dokument skapades medvetet för att reta upp läsarna”, konstaterade forskarna.
"Sammantaget överensstämmer meddelandena med vanliga ryska propagandateman", skrev de. "De försöker få ukrainare att tro att de inte kommer att ha droger, mat och uppvärmning på grund av kriget mellan Ryssland och Ukraina."
Den andra fasen av pysops våg inträffade i december och expanderade till andra europeiska länder, med en slumpmässig uppsättning av några hundra mål, allt från den ukrainska regeringen till en italiensk skotillverkare, men fortfarande skriven på ukrainska. Forskarna upptäckte två olika e-postmallar i kampanjen som skickade sarkastiska semesterhälsningar till ukrainare i ytterligare ett försök att nedvärdera och avskräcka dem.
Skadliga domäner och försvarstaktik
Forskarna spårade främst domäner för att hålla jämna steg med de cyberbrottslingar som var involverade i Operation Texonto, vilket ledde dem in på några intressanta vägar. Den ena gällde en till synes orelaterade men typisk kanadensisk skräppostkampanj för apotek som använde en e-postserver som drivs av angriparna, en "kategori av illegal verksamhet [som] har varit mycket populär inom den ryska cyberbrottsgemenskapen", sa de.
Andra domännamn associerade med kampanjen återspeglade nyare aktuella händelser såsom döden av Alexei Navalnyj, den välkända ryska oppositionsledaren som dog den 16 februari i fängelset. Förekomsten av dessa domäner – inklusive navalny-votes[.]net, navalny-votesmart[.]net och navalny-voting[.]net – "betyder att Operation Texonto förmodligen inkluderar spjutfiske eller informationsoperationer riktade mot ryska dissidenter." skrev forskarna.
ESET inkluderade en rad kompromissindikatorer (IOC), inklusive domäner, e-postadresser och MITER ATT&CK-tekniker i sin rapport. Forskarna rekommenderar också att organisationer möjliggör stark tvåfaktorsautentisering – som en telefonautentiseringsapp eller en fysisk nyckel – för att försvara sig mot spjutfiskeattacker som riktar sig mot Office 365, säger Faou.
När det gäller att försvara sig mot illvilliga aktörers försök att sprida desinformation online, "det bästa skyddet är att använda vårt kritiska tänkesätt och att inte lita på någon information på Internet", tillägger han.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- : har
- :är
- :inte
- $UPP
- 16
- 2023
- 22
- 7
- a
- Able
- Enligt
- tvärs
- aktivitet
- aktörer
- adresser
- Lägger
- mot
- byrå
- syftar
- Syftet
- rikta
- också
- an
- och
- Annan
- vilken som helst
- app
- syntes
- ÄR
- array
- AS
- associerad
- At
- attackera
- Attacker
- Försök
- bort
- BE
- därför att
- varit
- tro
- som tillhör
- BÄST
- Bit
- Blogg
- båda
- företag
- men
- by
- kom
- Kampanj
- Kampanjer
- Canadian
- Vid
- Kategori
- kanaler
- medborgare
- klar
- klick
- Gemensam
- samfundet
- Företag
- företag
- kompromiss
- kokta
- länder
- skapas
- referenser
- kritisk
- Aktuella
- cyber
- cyberbrottslighet
- nätbrottslingar
- mörkt
- Mörk läsning
- Död
- December
- Försvara
- Försvar
- demonstrerar
- Avdelning
- beskriven
- DID
- dog
- olika
- upptäckt
- desinformation
- nedvärdera
- distinkt
- fördelning
- flera
- do
- dokument
- domän
- DOMÄNNAMN
- domäner
- tvivlar
- ner
- drog
- Läkemedel
- dubbade
- Tidig
- ät
- ansträngning
- e
- anställd
- anställda
- möjliggöra
- änden
- energi
- ingrepp
- spionage
- EU
- Europa
- Giltigt körkort
- Europeiska länder
- Även
- händelser
- Förekomsten
- expanderade
- fejka
- långt
- februari
- få
- Förnamn
- fokuserade
- livsmedelsproduktion
- För
- hittade
- från
- Målet
- kommer
- Regeringen
- Hälsningar
- Marken
- hade
- Har
- he
- Semester
- Hur ser din drömresa ut
- Men
- HTTPS
- hundra
- Hybrid
- Olaglig
- viktigt
- in
- ingår
- innefattar
- Inklusive
- indikatorer
- individuellt
- påverka
- informationen
- informeras
- Infrastruktur
- istället
- intressant
- Internet
- Undersökningen
- involverade
- IT
- italienska
- DESS
- sig
- Januari
- bara
- Ha kvar
- Nyckel
- lansera
- leda
- ledare
- Leads
- t minst
- Led
- LINK
- kopplade
- länkar
- levande
- log
- logga in
- Huvudsida
- huvudsakligen
- större
- göra
- skadlig
- Tillverkare
- Maj..
- betyder
- meddelande
- meddelanden
- metod
- Microsoft
- emot
- Attityd
- desinformation
- månader
- mer
- mest
- flytta
- måste
- namn
- nät
- Nästa
- anmärkningsvärd
- i synnerhet
- noterade
- Anmärkningar
- November
- observerar
- inträffade
- oktober
- of
- Office
- on
- ONE
- nätet
- drivs
- drift
- Verksamhet
- opposition
- or
- beställa
- organisationer
- Övriga
- vår
- över
- övergripande
- sida
- sidor
- banor
- Personer
- fas
- Nätfiske
- phishing-kampanj
- telefon
- Bilder
- fysisk
- planeras
- plato
- Platon Data Intelligence
- PlatonData
- komplott
- Populära
- Inlägg
- potentiell
- tidigare
- fängelse
- förmodligen
- propaganda
- skydd
- tillhandahålla
- rent
- slumpmässig
- område
- som sträcker sig
- snarare
- läsare
- Läsning
- mottagna
- senaste
- nyligen
- mottagare
- rekommenderar
- reflekterad
- relaterad
- avlägsnas
- rapport
- forskaren
- forskare
- avslöjade
- Ryssland
- Ryssland-Ukraina kriget
- ryska
- s
- Nämnda
- Samma
- säger
- Andra
- till synes
- sända
- skickas
- separat
- server
- flera
- brist
- Visar
- signera
- liknande
- So
- än så länge
- några
- någon
- SUGGA
- skräppost
- specifik
- Sponsrade
- spridning
- Spridning
- Fortfarande
- stark
- lämnats
- sådana
- föreslå
- taktik
- Målet
- riktade
- targeting
- mål
- tekniker
- Tekniken
- Telegram
- mallar
- än
- den där
- Smakämnen
- deras
- Dem
- teman
- sedan
- Där.
- Dessa
- de
- de
- fastän?
- hot
- hotaktörer
- till
- ämnen
- Litar
- prova
- försöker
- vridning
- två
- typisk
- Ukraina
- ukrainska
- ukrainare
- URL
- användning
- Begagnade
- användare
- med hjälp av
- version
- mycket
- via
- kriget
- varnade
- var
- Våg
- vågor
- we
- webb
- webbsidor
- VÄL
- ALLBEKANT
- były
- weren
- Vad
- Vad är
- när
- som
- medan
- VEM
- kommer
- vinna
- med
- inom
- Vann
- arbetssätt
- skriven
- skrev
- ännu
- zephyrnet