Ryska statliga hackare utför riktade nätfiskekampanjer i minst nio länder fördelade på fyra kontinenter. Deras e-postmeddelanden talar om officiella statliga affärer och, om de lyckas, hotar de inte bara känsliga organisationsdata, utan också geopolitisk intelligens av strategisk betydelse.
En sådan sofistikerad, mångsidig intrig kunde bara skapas av en grupp så produktiv som Fancy Bear (alias APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 och många fler alias fortfarande), som IBM X-Force spårar som ITG05 i en ny rapport.
Förutom de övertygande betenen med regeringstema och tre nya varianter av anpassade bakdörrar, sticker kampanjen ut mest för den information den riktar sig till: Fancy Bear verkar sikta på mycket specifik information till nytta för den ryska regeringen.
Regeringen nätfiske lockar
Fancy Bear har använt minst 11 unika beten i kampanjer riktade mot organisationer i Argentina, Ukraina, Georgien, Vitryssland, Kazakstan, Polen, Armenien, Azerbajdzjan och USA.
Locken ser ut som officiella dokument förknippade med internationella regeringar, som täcker teman så breda som finans, kritisk infrastruktur, verkställande engagemang, cybersäkerhet, sjösäkerhet, hälsovård och försvarsindustriell produktion.
Vissa av dessa är legitima, allmänt tillgängliga dokument. Andra, intressant nog, verkar vara interna för specifika statliga myndigheter, vilket väcker frågan om hur Fancy Bear fick tag på dem i första hand.
"X-Force har inte insikt i huruvida ITG05 framgångsrikt har äventyrat de efterliknade organisationerna", konstaterar Claire Zaboeva, hotjagare för IBM X-Force. "Eftersom det är möjligt att ITG05 utnyttjade obehörig åtkomst för att samla in interna dokument, har vi meddelat alla imiterade parter om aktiviteten före publicering som en del av vår policy för ansvarsfullt avslöjande."
Alternativt kan Fancy Bear/ITGO5 bara ha imiterat riktiga filer. "Till exempel innehåller några av de avslöjade dokumenten märkbara fel som att felstava namnen på huvudparterna i vad som verkar vara officiella regeringskontrakt", sa hon.
Ett potentiellt motiv?
En annan viktig egenskap hos dessa beten är att de är ganska specifika.
Exempel på engelska inkluderar ett policydokument om cybersäkerhet från en georgisk icke-statlig organisation och en resplan för januari som beskriver 2024 års mötes- och övningsklockboj (XBB24) för deltagare i den amerikanska flottans arbetsgrupp för sjöfart i Stilla havet (PACIOSWG).
Och det finns lockbeten med finanstema: ett vitryskt dokument med rekommendationer för att skapa kommersiella villkor för att underlätta mellanstatliga företagande senast 2025, i linje med ett initiativ från Eurasian Economic Union, ett budgetpolitiskt dokument från det argentinska ekonomiministeriet som erbjuder "strategiska riktlinjer" för att hjälpa president med nationell ekonomisk politik och mer i denna linje.
"Det är troligt att insamlingen av känslig information angående budgetproblem och globala enheters säkerhetsställning är ett högprioriterat mål med tanke på ITG05:s etablerade uppdragsutrymme", sa X-Force i sin rapport om kampanjen.
Argentina, till exempel, avvisade nyligen en inbjudan att gå med i handelsorganisationen BRICS (Brasilien, Ryssland, Indien, Kina, Sydafrika), så "det är möjligt att ITG05 försöker få tillgång som kan ge insikt i den argentinska regeringens prioriteringar ", sa X-Force.
Aktivitet efter exploatering
Förutom specificitet och ett sken av legitimitet använder angriparna ytterligare ett psykologiskt knep för att snärja offren: att först presentera dem med en suddig version av dokumentet. Som i bilden nedan kan mottagarna se precis tillräckligt med detaljer för att se att dessa dokument verkar officiella och viktiga, men inte tillräckligt för att undvika att behöva klicka på dem.
Prov dragdokument; Källa: IBM
När offer på angriparkontrollerade webbplatser klickar för att se lockbetsdokumenten laddar de ner en Python-bakdörr som heter "Masepie". Den upptäcktes först i december och kan etablera beständighet i en Windows-maskin, och möjliggöra nedladdning och uppladdning av filer och godtycklig kommandoexekvering.
En av filerna som Masepie laddar ner till infekterade maskiner är "Oceanmap", ett C#-baserat verktyg för kommandoexekvering via Internet Message Access Protocol (IMAP). Oceanmaps ursprungliga variant – inte den som används här – hade informationsstöldfunktion som sedan har tagits bort och överförts till "Steelhook", den andra Masepie-nedladdade nyttolasten som är kopplad till denna kampanj.
Steelhook är ett PowerShell-skript vars jobb är att exfiltrera data från Google Chrome och Microsoft Edge via en webhook.
Mer anmärkningsvärt än dess skadliga program är Fancy Bears omedelbara handling. Som först beskrivna av Ukrainas Computer Emergency Response Team (CERT-UA), Fancy Bear-infektioner med den första timmen efter landning på en offermaskin, ladda ner bakdörrar och genomför spaning och sidorörelse via stulna NTLMv2-hashar för reläattacker.
Så potentiella offer måste agera snabbt eller ännu bättre, förbereda sig i förväg för sina infektioner. De kan göra det genom att följa IBM:s tvättlista med rekommendationer: övervakning av e-postmeddelanden med URL:er som serveras av Fancy Bears värdleverantör, FirstCloudIT, och misstänkt IMAP-trafik till okända servrar, för att åtgärda dess gynnade sårbarheter – såsom CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – och mycket mer.
"ITG05 kommer att fortsätta att utnyttja attacker mot världens regeringar och deras politiska apparat för att ge Ryssland avancerad insikt i framväxande politiska beslut", avslutade forskarna.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks
- : har
- :är
- :inte
- 11
- 2024
- 2025
- 7
- a
- tillgång
- Access Protocol
- tillgänglig
- tvärs
- Agera
- Handling
- aktivitet
- adresse
- avancera
- avancerat
- afrika
- mot
- byråer
- sikta
- aka
- uppriktning
- Alla
- längs
- också
- an
- och
- visas
- visas
- godtycklig
- ÄR
- Argentina
- Argentine
- AS
- bistå
- associerad
- At
- Attacker
- uppnå
- undvika
- Azerbaijan
- bakdörr
- Bakdörrar
- BE
- Bear
- varit
- Vitryssland
- klocka
- nedan
- Bättre
- Brasilien
- brics
- bred
- budget
- företag
- men
- by
- kallas
- Kampanj
- Kampanjer
- KAN
- kapabel
- Kina
- krom
- klick
- samla
- samling
- kommersiella
- Äventyras
- dator
- oro
- ingås
- villkor
- Genomför
- kontinenter
- fortsätta
- kontrakt
- kunde
- länder
- beläggning
- Skapa
- kritisk
- Kritisk infrastruktur
- beställnings
- cyberattack
- Cybersäkerhet
- datum
- December
- beslut
- Försvar
- detalj
- detailing
- avslöjande
- upptäckt
- do
- dokumentera
- dokument
- gör
- ladda ner
- nedladdning
- Nedladdningar
- Ekonomisk
- Ekonomisk politik
- ekonomi
- kant
- e
- nödsituation
- möjliggör
- uppdrag
- tillräckligt
- Företag
- enheter
- fel
- etablerade
- upprättandet
- exempel
- exempel
- utförande
- verkställande
- Motionera
- främja
- fantasi
- Leverans
- Filer
- finansiering
- Förnamn
- efter
- För
- skog
- fyra
- från
- funktionalitet
- geopolitiska
- georgien
- georgiansk
- ges
- Välgörenhet
- Google Chrome
- fick
- Regeringen
- statliga myndigheter
- Regeringar
- Grupp
- riktlinjer
- hackare
- hade
- händer
- Har
- har
- hälso-och sjukvård
- här.
- höggradigt
- värd
- timme
- Hur ser din drömresa ut
- HTTPS
- jägare
- IBM
- if
- bild
- vikt
- med Esport
- in
- innefattar
- indien
- indisk
- industriell
- INDUSTRIPRODUKTION
- infekterade
- infektioner
- informationen
- Infrastruktur
- initialt
- Initiativ
- insikt
- exempel
- Intelligens
- inre
- Internationell
- Internet
- in
- inbjudan
- IT
- DESS
- Januari
- Jobb
- delta
- bara
- Kazakstan
- landning
- språk
- t minst
- legitimitet
- legitim
- Hävstång
- belånade
- tycka om
- sannolikt
- rader
- Lista
- se
- ser ut som
- Maskinen
- Maskiner
- göra
- malware
- många
- Maritime
- Maj..
- möte
- endast
- meddelande
- Microsoft
- Microsoft Edge
- departement
- Ministeriet för ekonomi
- Mission
- övervakning
- mer
- mest
- motiv
- rörelse
- mycket
- namn
- nationell
- Behöver
- Nya
- Ngo
- nio
- anmärkningsvärd
- Anmärkningar
- hav
- of
- erbjuda
- tjänsteman
- on
- ONE
- endast
- or
- organisation
- organisatoriska
- organisationer
- ursprungliga
- Övriga
- Övrigt
- vår
- ut
- stilla havet
- Papper
- del
- deltagare
- parter
- utför
- persistens
- Nätfiske
- Plats
- plato
- Platon Data Intelligence
- PlatonData
- komplott
- Polen
- policy
- politiska
- möjlig
- potentiell
- Power
- Förbered
- presenter
- VD
- Principal
- Innan
- Produktion
- fruktsam
- protokoll
- ge
- leverantör
- psykologiska
- Offentliggörande
- publicly
- Python
- kvalitet
- fråga
- snabbt
- ganska
- höja
- verklig
- nyligen
- mottagare
- rekommendationer
- om
- Avvisade..
- rapport
- forskare
- respons
- ansvarig
- Ryssland
- ryska
- s
- Nämnda
- skript
- säkerhet
- se
- Söker
- känslig
- eras
- Servrar
- hon
- Frakt & Leverans
- eftersom
- Områden
- So
- några
- sofistikerade
- Källa
- Söder
- Sydafrika
- Utrymme
- specifik
- specificitet
- spridning
- står
- Ange
- Stater
- Fortfarande
- stulna
- Strategisk
- framgångsrik
- Framgångsrikt
- sådana
- misstänksam
- Målet
- riktade
- targeting
- mål
- grupp
- än
- den där
- Smakämnen
- den information
- deras
- Dem
- teman
- Där.
- Dessa
- de
- detta
- hot
- hota
- tre
- till
- verktyg
- spår
- handla
- trafik
- överförd
- knep
- Ukraina
- obehörig
- avtäckt
- fackliga
- unika
- United
- USA
- okänd
- uppladdning
- us
- användning
- Begagnade
- utnyttjas
- Variant
- version
- via
- Victim
- offer
- utsikt
- sårbarheter
- we
- Vad
- om
- som
- vars
- kommer
- fönster
- med
- arbetssätt
- Arbetsgrupp
- världen
- inom hela sverige
- ännu
- Avkastning
- zephyrnet
