SolarWinds-angripare dinglar BMW-bilar för att spionera på diplomater

Den ryskstödda gruppen bakom den ökända SolarWinds-attacken riktar sig mot "ett häpnadsväckande antal" utländska diplomater som arbetar på ambassader i Ukraina med lockbeten som är lite mer personliga än den traditionella politiska maten som normalt används för att locka dem att klicka på skadliga länkar.

Forskare från Palo Alto Networks enhet 42 observerade gruppen – som de spårar som Cloaked Ursa men som är mer känd som Nobelium/APT29 — ett fordon att ta sig runt i.

Det första lockbetet i kampanjen verkade använda ett legitimt flygblad för försäljningen av en begagnad BMW sedan i Kiev som spreds till olika ambassader av en diplomat inom det polska utrikesministeriet. Även om det verkar ganska oskyldigt, kan försäljningen av en pålitlig bil från en pålitlig diplomat - särskilt i ett krigshärjat område som Ukraina - definitivt dra uppmärksamheten till en ny anlända till scenen, noterade forskarna.

Detta är något som Cloaked Ursa tittade på som en möjlighet och använde reklambladet för att skapa sin egen olagliga, som gruppen skickade till flera diplomatiska beskickningar två veckor senare som lockbete i sin skadliga programkampanj. Gruppen inkluderade i meddelandet en skadlig länk som sa att mål kan hitta fler bilder på bilen där. Offren hittar mer än bara foton om de klickar på länken, som kör skadlig programvara tyst i bakgrunden medan den valda bilden visas på offrets skärm.

Kampanjens nyttolast är en JavaScript-baserad skadlig kod som ger angripare en spionagefärdig bakdörr in i offrets system och möjligheten att ladda ytterligare skadlig kod via en kommando-och-kontroll-anslutning (C2).

Det avancerade ihållande hotet (APT) visade överlag för att generera sin mållista, med hjälp av allmänt tillgängliga ambassadadresser för cirka 80 % av offren och opublicerade e-postadresser som inte hittades på ytan för de övriga 20 %. Detta var sannolikt "för att maximera deras åtkomst till önskade nätverk", enligt enhet 42.

Forskarna observerade Cloaked Ursa utöva kampanjen mot 22 av 80 utländska beskickningar i Ukraina, men det faktiska antalet mål är sannolikt högre, sa de.

"Detta är häpnadsväckande i omfattning för vad som i allmänhet är snävt och hemliga APT-operationer", enligt enhet 42.

En förändring i skadlig cybertaktik

Det är en strategisk pivot från att använda ämne relaterade till deras jobb som bete, avslöjade forskare i ett blogginlägg publiceras denna vecka.

"Dessa okonventionella lockbeten är designade för att locka mottagaren att öppna en anknytning baserat på sina egna behov och önskemål istället för som en del av sina rutinuppgifter", skrev forskarna.

Denna förändring av lockbetstaktiken kan vara ett steg för att öka kampanjens framgångsfaktor, inte bara för att äventyra det ursprungliga målet utan även andra inom samma organisation, och därmed utöka dess räckvidd, föreslog forskarna.

"Betenen i sig är brett tillämpliga i det diplomatiska samfundet och kan därför skickas och vidarebefordras till ett större antal mål", skrev de i inlägget. "De är också mer benägna att vidarebefordras till andra inom en organisation, såväl som inom det diplomatiska samfundet."

Cloaked Ursa/Nobelium/APT29, är en statligt sponsrad grupp associerad med Rysslands utrikesunderrättelsetjänst (SVR), är kanske mest känd för Solarwinds attack, som började med en bakdörr som upptäcktes i december 2020 som spred sig till cirka 18,000 XNUMX organisationer via infekterade programuppdateringar – och som fortfarande har en inverkan över hela mjukvaruförsörjningskedjan.

Gruppen har varit konsekvent aktiv sedan dess och byggt upp en rad attacker som överensstämmer med Rysslands övergripande geopolitiska hållning mot olika utrikesministerier och diplomater, och den amerikanska regeringen. En gemensam nämnare för alla incidenter är en sofistikerad både taktik och anpassad skadlig programvara.

Enhet 42 noterade likheter med andra kända kampanjer från Cloaked Ursa, inklusive målen för attacken, och kodöverlappning med annan känd skadlig programvara från gruppen.

Att mildra APT-cyberattacker mot det civila samhället

Forskarna gav några råd till personer på diplomatiska uppdrag för att undvika att falla offer för sofistikerade och smarta attacker från APT som Cloaked Ursa. En är att administratörer utbildar nyligen tilldelade diplomater i cybersäkerhetshoten för regionen innan de anländer.

Statsanställda eller företagsanställda i allmänhet bör alltid vara försiktiga med nedladdningar, även från till synes ofarliga eller legitima webbplatser, samt vidta extra försiktighetsåtgärder för att observera URL-omdirigering vid användning av URL-förkortningstjänster, eftersom detta kan vara ett kännetecken för en nätfiskeattack.

Människor bör också vara uppmärksamma på e-postbilagor för att undvika att bli offer för nätfiske, sa forskarna. De bör verifiera filtilläggstyper för att säkerställa att filen de öppnar är den de vill ha, undvika filer med tillägg som inte matchar eller försöker fördunkla filens natur.

Slutligen föreslog forskarna att diplomatiska anställda som regel inaktiverar JavaScript, vilket skulle göra att all skadlig programvara baserad på programmeringsspråket inte kan köras.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
• Källa: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats