Ryska SolarWinds-skyldiga lanserar en ny störtflod av spionage cyberattacker

Som en del av sin pågående invasion av Ukraina har rysk underrättelsetjänst återigen anlitat hackergruppen Nobelium/APT29, denna gång för att spionera på utrikesministerier och diplomater från NATO-medlemsstater, såväl som andra mål i EU och Afrika .

Tidpunkten stämmer också överens med en mängd attacker mot kanadensisk infrastruktur, som också tros vara kopplad till Ryssland.

Den polska militära kontraspionagetjänsten och CERT-teamet i Polen utfärdade en varning den 13 april, tillsammans med indikatorer på kompromiss, varnade potentiella mål för spionkampanjen om hotet. Nobel, som gruppen har utsetts av Microsoft, även namngiven APT29 från Mandiant, är inte ny i nationalstatsspionagespelet, gruppen låg bakom den ökända SolarWinds leveranskedjeangrepp för nästan tre år sedan.

Nu är APT29 tillbaka med en helt ny uppsättning malware-verktyg och rapporterade marschorder för att infiltrera den diplomatiska kåren i länder som stödjer Ukraina, förklarade den polska militären och CERT-varningen.

APT29 är tillbaka med nya beställningar

I varje fall börjar det avancerade ihållande hotet (APT) sin attack med ett väl genomtänkt e-postmeddelande med spjutfiske, enligt den polska varningen.

"E-postmeddelanden som utger sig för att vara europeiska länders ambassader skickades till utvald personal på diplomatiska poster", förklarade myndigheterna. "Korrespondensen innehöll en inbjudan till ett möte eller att arbeta tillsammans med dokument."

Meddelandet skulle sedan uppmana mottagaren att klicka på en länk eller ladda ner en PDF för att komma åt ambassadörens kalender, eller få mötesdetaljer - båda skickar målen till en skadlig webbplats laddad med hotgruppens "signaturskript", som rapporten identifierar som "Envyscout."

"JAGt använder HTML-smugglingstekniken – där en skadlig fil som placeras på sidan avkodas med JavaScript när sidan öppnas och sedan laddas ner på offrets enhet”, tillade polska myndigheter. "Detta gör den skadliga filen svårare att upptäcka på serversidan där den är lagrad."

Den skadliga webbplatsen skickar också ett meddelande till målen som försäkrar dem om att de laddat ner rätt fil, sa varningen.

"Spear-phishing-attacker är framgångsrika när kommunikationen är välskriven, använder personlig information för att visa bekantskap med målet och verkar komma från en legitim källa", säger Patrick Harr, VD för SlashNext, till Dark Reading om kampanjen. "Den här spionkampanjen uppfyller alla kriterier för framgång."

en phishing-e-post, till exempel, efterliknade den polska ambassaden, och, intressant nog, under hela den observerade kampanjen justerades Envyscout-verktyget tre gånger med förvirringsförbättringar, noterade de polska myndigheterna.

När gruppen väl har kompromissat använder den modifierade versioner av Snowyamber-nedladdaren, Halfrig, som körs Koboltstrejk som inbäddad kod, och Quarterrig, som delar kod med Halfrig, sa den polska varningen.

"Vi ser en ökning av dessa attacker där den dåliga skådespelaren använder flera steg i en kampanj för att justera och förbättra framgången," tillägger Harr. "De använder automations- och maskininlärningstekniker för att identifiera vad som undviker upptäckt och modifierar efterföljande attacker för att förbättra framgången."
Regeringar, diplomater, internationella organisationer och icke-statliga organisationer (NGO) bör vara på högsta beredskap för detta och andra ryska spionageinsatser, enligt polska cybersäkerhetsmyndigheter.

"The Military Counterintelligence Service och CERT.PL rekommenderar starkt att alla enheter som kan vara i aktörens intresseområde implementerar konfigurationsändringar för att störa leveransmekanismen som användes i den beskrivna kampanjen", sa tjänstemän.

Rysk-länkade attacker på Kanadas infrastruktur

Förutom varningar från polska cybersäkerhetstjänstemän har Kanadas premiärminister Justin Trudeau under den senaste veckan gjort offentliga uttalanden om en ström av nyligen Ryska cyberattacker inriktad på kanadensisk infrastruktur, inklusive angrepp mot beteende på Hydro-Québec, elverk, webbplatsen för Trudeaus kontor, hamnen i Quebecoch Laurentian Bank. Trudeau sa att cyberattackerna är relaterade till Kanadas stöd till Ukraina.

"Ett par denial-of-service-attacker på statliga webbplatser, som slår ner dem i några timmar, kommer inte att få oss att ompröva vår otvetydiga hållning att göra vad som helst så länge det tar för att stödja Ukraina, säger Trudeau. , enligt rapporter.

Chefen för det kanadensiska centret för cybersäkerhet, Sami Khoury, sa vid en presskonferens förra veckan att även om det inte skett några skador på Kanadas infrastruktur, "är hotet verkligt." tillgång till kanadensare, tillhandahålla hälsovård eller allmänt använda någon av de tjänster som kanadensare inte kan vara utan, du måste skydda dina system”, sa Khoury. "Övervaka dina nätverk. Tillämpa begränsningar."

Rysslands ansträngningar för cyberbrott rasar vidare

När Rysslands invasion av Ukraina fortsätter in i sitt andra år, säger Mike Parkin med Vulcan Cyber ​​att de senaste kampanjerna knappast borde vara en överraskning.

"Cybersäkerhetsgemenskapen har tittat på nedfallet och sidoskadorna från konflikten i Ukraina sedan den startade, och vi har vetat att ryska och pro-ryska hotaktörer var aktiva mot västerländska mål," säger Parkin. "Med tanke på nivåerna av cyberkriminell aktivitet vi redan hade att göra med, är [dessa] bara några nya verktyg och nya mål – och en påminnelse om att se till att våra försvar är uppdaterade och korrekt konfigurerade.”

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Minting the Future med Adryenn Ashley. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks