Rus SolarWinds Suçluları Yeni Casusluk Siber Saldırıları Başlattı

Rus istihbaratı, devam eden Ukrayna işgalinin bir parçası olarak, bu sefer NATO üyesi devletlerin dışişleri bakanlıkları ve diplomatlarının yanı sıra Avrupa Birliği ve Afrika'daki diğer hedefleri gözetlemek için hacker grubu Nobelium/APT29'un hizmetlerinden yararlandı. .

Zamanlama, yine Rusya ile bağlantılı olduğuna inanılan Kanada altyapısına yönelik bir dizi saldırıyla da örtüşüyor.

Polonya Askeri Karşı İstihbarat Servisi ve Polonya'daki CERT ekibi, 13 Nisan'da uzlaşma göstergeleriyle birlikte casusluk kampanyasının potansiyel hedeflerini tehdit konusunda uyaran bir uyarı yayınladı. Nobel, grup Microsoft tarafından belirlendiğinden, aynı zamanda Mandiant tarafından APT29, ulus-devlet casusluk oyununda yeni değil, rezil olayın arkasında grup vardı SolarWinds tedarik zinciri saldırısı yaklaşık üç yıl önce.

Polonya ordusu ve CERT alarmı, APT29'un şimdi tamamen yeni bir dizi kötü amaçlı yazılım aracıyla geri döndüğünü ve Ukrayna'yı destekleyen ülkelerin diplomatik birliklerine sızmak için emirler aldığını bildirdi.

APT29 Yeni Siparişlerle Geri Döndü

Polonya uyarısına göre her durumda, gelişmiş kalıcı tehdit (APT) saldırısına iyi tasarlanmış bir kimlik avı e-postası ile başlar.

Yetkililer, "Avrupa ülkelerinin büyükelçiliklerini taklit eden e-postalar, diplomatik görevlerdeki seçilmiş personele gönderildi." "Yazışma, bir toplantıya veya belgeler üzerinde birlikte çalışmaya davet içeriyordu."

Mesaj daha sonra alıcıyı bir bağlantıya tıklamaya veya büyükelçinin takvimine erişmek için bir PDF indirmeye veya toplantı ayrıntılarını almaya yönlendirir - her ikisi de hedefleri, raporun tanımladığı gibi tehdit grubunun "imza komut dosyası" ile yüklenmiş kötü amaçlı bir siteye gönderir. "Kıskançlık."

"IPolonyalı yetkililer, sayfaya yerleştirilen kötü amaçlı bir dosyanın sayfa açıldığında JavaScript kullanılarak kodunun çözüldüğü ve ardından kurbanın cihazına indirildiği HTML kaçakçılığı tekniğini kullanıyor” diye ekledi. "Bu, kötü amaçlı dosyanın depolandığı sunucu tarafında tespit edilmesini zorlaştırıyor."

Uyarıda, kötü amaçlı sitenin ayrıca hedeflere doğru dosyayı indirdiklerine dair güvence veren bir mesaj gönderdiği belirtildi.

SlashNext CEO'su Patrick Harr, Dark Reading'e kampanya hakkında "İletişimler iyi yazıldığında, hedefe aşinalık göstermek için kişisel bilgiler kullanıldığında ve meşru bir kaynaktan geliyormuş gibi göründüğünde hedef odaklı kimlik avı saldırıları başarılı oluyor" dedi. "Bu casusluk kampanyası, başarı için tüm kriterleri karşılıyor."

Bir phishing e-postasıPolonyalı yetkililer, örneğin, Polonya büyükelçiliğini taklit etti ve ilginç bir şekilde, gözlemlenen kampanya boyunca Envyscout aracı üç kez karartma iyileştirmeleriyle ince ayar yaptı, Polonyalı yetkililer kaydetti.

Güvenliği ihlal edildikten sonra grup, çalışan Snowyamber indiricisi Halfrig'in değiştirilmiş sürümlerini kullanır. Kobalt Grevi Polonya uyarısına göre gömülü kod ve Halfrig ile kod paylaşan Quarterrig.

Harr, "Kötü aktörün başarıyı ayarlamak ve iyileştirmek için bir kampanyada birden fazla aşama kullandığı bu saldırılarda bir artış görüyoruz" diye ekliyor. "Neyin tespitten kaçtığını belirlemek ve başarıyı artırmak için sonraki saldırıları değiştirmek için otomasyon ve makine öğrenimi teknikleri kullanıyorlar."
Polonya siber güvenlik yetkililerine göre, hükümetler, diplomatlar, uluslararası kuruluşlar ve sivil toplum kuruluşları (STK'lar) bu ve diğer Rus casusluk çabaları için yüksek alarm durumunda olmalıdır.

Yetkililer, "Askeri Karşı İstihbarat Servisi ve CERT.PL, aktörün ilgi alanında olabilecek tüm kuruluşların, açıklanan harekatta kullanılan dağıtım mekanizmasını bozmak için yapılandırma değişikliklerini uygulamasını şiddetle tavsiye ediyor" dedi.

Kanada Altyapısına Rus Bağlantılı Saldırılar

Polonyalı siber güvenlik yetkililerinin uyarılarının yanı sıra, geçen hafta Kanada Başbakanı Justin Trudeau son zamanlarda meydana gelen bir siber saldırı dalgası hakkında kamuoyuna açıklamalarda bulundu. Rus bağlantılı siber saldırılar dahil olmak üzere Kanada altyapısına yönelik hizmet reddi saldırıları üzerinde Hidro-Québec, elektrik şirketi, Trudeau'nun ofisi için web sitesi, Port of Quebec, ve Laurentian Bankası. Trudeau, siber saldırıların Kanada'nın Ukrayna'ya verdiği destekle ilgili olduğunu söyledi.

"Trudeau, "Hükümet web sitelerine yönelik birkaç hizmet reddi saldırısı ve onları birkaç saatliğine devre dışı bırakma, Ukrayna'yı desteklemek için ne gerekiyorsa yapma konusundaki kesin tutumumuzu yeniden düşünmemize neden olmayacak" dedi. , Raporlara göre.

Kanada Siber Güvenlik Merkezi patronu Sami Khoury, geçen hafta düzenlediği basın toplantısında, Kanada'nın altyapısına herhangi bir zarar gelmemesine rağmen "tehdidin gerçek olduğunu" söyledi. Kanadalılara erişim sağlamak, sağlık hizmeti sağlamak veya genel olarak Kanadalıların onsuz yapamayacakları hizmetlerden herhangi birini çalıştırmak için, sistemlerinizi korumanız gerekir,” dedi Khoury. “Ağlarınızı izleyin. Azaltma uygulayın."

Rusya'nın Siber Suç Çabaları Hızla Devam Ediyor

Rusya'nın Ukrayna'yı işgali ikinci yılına girerken, Vulcan Cyber ​​ile Mike Parkin son kampanyaların pek de sürpriz olmaması gerektiğini söylüyor.

"Siber güvenlik topluluğu, başladığından beri Ukrayna'daki çatışmanın serpintilerini ve tali hasarını izliyor ve Rus ve Rusya yanlısı tehdit aktörlerinin Batılı hedeflere karşı aktif olduğunu biliyoruz." Parkin diyor. “Halihazırda uğraştığımız siber suç faaliyeti düzeyleri göz önüne alındığında [bunlar] yalnızca bazı yeni araçlar ve yeni hedefler ve savunmalarımızın güncel ve doğru şekilde yapılandırıldığından emin olmamız için bir hatırlatma.”

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
• Kaynak: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks