Російська розвідка націлена на жертв швидкісних кібератак по всьому світу

Російські державні хакери проводять цілеспрямовані фішингові кампанії щонайменше в дев'яти країнах на чотирьох континентах. Їхні електронні листи рекламують офіційний урядовий бізнес і, в разі успіху, загрожують не лише конфіденційним організаційним даним, але й геополітичній розвідці стратегічного значення.

Такий витончений, багатогранний сюжет міг бути створений лише такою плідною групою, як Фантастичний ведмідь (він же APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 та ще багато інших псевдонімів), які IBM X-Force відстежує як ITG05 у новий звіт.

Окрім переконливих приманок на державну тематику та трьох нових варіантів користувальницьких бекдорів, кампанія найбільше виділяється інформацією, на яку вона націлена: Fancy Bear, схоже, націлений на дуже конкретну інформацію, корисну російському уряду.

Державні фішингові приманки

Fancy Bear використав принаймні 11 унікальних приманок у кампаніях, спрямованих на організації в Аргентині, Україні, Грузії, Білорусі, Казахстані, Польщі, Вірменії, Азербайджані та Сполучених Штатах.

Приваби виглядають як офіційні документи, пов’язані з міжнародними урядами, які охоплюють такі широкі теми, як фінанси, критична інфраструктура, виконавчі зобов’язання, кібербезпека, безпека на морі, охорона здоров’я та оборонно-промислове виробництво.

Деякі з них є законними, загальнодоступними документами. Інші, що цікаво, здаються внутрішніми для певних державних установ, що піднімає питання про те, як Fancy Bear взагалі потрапив до них.

«X-Force не має відомостей про те, чи ITG05 успішно скомпрометував імітовані організації», — зазначає Клер Забоєва, мисливець за загрозами для IBM X-Force. «Оскільки можливо, що ITG05 використовував несанкціонований доступ для збору внутрішніх документів, ми повідомили всі імітовані сторони про цю діяльність перед публікацією в рамках нашої Політики відповідального розкриття інформації».

Крім того, Fancy Bear/ITGO5 може просто імітувати справжні файли. «Наприклад, деякі з відкритих документів містять помітні помилки, як-от неправильне написання імен основних сторін у тому, що виглядає як офіційний державний контракт», — сказала вона.

Потенційний мотив?

Ще одна важлива якість цих приманок - вони досить специфічні.

Англомовні приклади включають документ про політику кібербезпеки від грузинської неурядової організації та січневий маршрут із детальним описом зустрічі та навчань Bell Buoy (XBB2024) 24 року для учасників Робочої групи з морських перевезень у Тихому океані та Індійському океані (PACIOSWG) ВМС США.

І є фінансові приманки: білоруський документ із рекомендаціями щодо створення комерційних умов для сприяння міждержавним підприємствам до 2025 року відповідно до ініціативи Євразійського економічного союзу, документ про бюджетну політику Міністерства економіки Аргентини, який пропонує «стратегічні вказівки» для надання допомоги президента з національною економічною політикою та багато іншого в цьому плані.

«Цілком ймовірно, що збір конфіденційної інформації щодо проблем з бюджетом і стану безпеки глобальних організацій є високопріоритетною ціллю, враховуючи встановлений простір місії ITG05», — йдеться у звіті X-Force про кампанію.

Наприклад, Аргентина нещодавно відхилила запрошення приєднатися до торгової організації БРІКС (Бразилія, Росія, Індія, Китай, Південна Африка), тому «можливо, що ITG05 прагне отримати доступ, який може дати розуміння пріоритетів аргентинського уряду». ", - сказав X-Force.

Післяексплуатаційна діяльність

Окрім конкретності та видимості легітимності, зловмисники використовують ще один психологічний трюк, щоб заманити жертв у пастку: спочатку пред’являють їм лише розмиту версію документа. Як на зображенні нижче, одержувачі можуть бачити достатньо деталей, щоб зрозуміти, що ці документи здаються офіційними та важливими, але недостатньо, щоб не натискати на них.

Зразок документа про приманку; Джерело: IBM

Коли жертви на контрольованих зловмисниками сайтах клацають, щоб переглянути документи-приманки, вони завантажують бекдор Python під назвою «Masepie». Вперше виявлений у грудні, він здатний встановлювати постійність у машині Windows, уможливлювати завантаження та завантаження файлів і довільне виконання команд.

Одним із файлів, які Masepie завантажує на заражені машини, є «Oceanmap», інструмент на основі C# для виконання команд через протокол доступу до Інтернет-повідомлень (IMAP). Оригінальний варіант Oceanmap – не той, що використовується тут – мав функцію викрадення інформації, яку згодом було видалено та передано до «Steelhook», іншого корисного навантаження, завантаженого Masepie, пов’язаного з цією кампанією.

Steelhook — це сценарій PowerShell, завдання якого полягає у викраденні даних із Google Chrome і Microsoft Edge за допомогою веб-хуку.

Негайність дій Fancy Bear примітна ще більше, ніж зловмисне програмне забезпечення. як вперше описано Українською командою реагування на надзвичайні ситуації в області комп’ютерних ситуацій (CERT-UA), зараження Fancy Bear через першу годину приземлення на машину-жертву, завантаження бекдорів і проведення розвідки та бокового руху через вкрадені хеші NTLMv2 для релейних атак.

Тому потенційні жертви повинні діяти швидко або, що ще краще, заздалегідь підготуватися до зараження. Вони можуть зробити це, дотримуючись списку рекомендацій IBM: моніторинг електронних листів із URL-адресами, які обслуговує хостинг-провайдер Fancy Bear, FirstCloudIT, і підозрілий трафік IMAP до невідомих серверів, усунення його популярних уразливостей, таких як CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – і багато іншого.

«ITG05 продовжуватиме використовувати атаки проти світових урядів та їхніх політичних апаратів, щоб надати Росії глибоке уявлення про політичні рішення, що виникають», — підсумували дослідники.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks