У рамках свого триваючого вторгнення в Україну російська розвідка знову заручилася послугами хакерської групи Nobelium/APT29, цього разу для шпигування за міністерствами закордонних справ і дипломатами з країн-членів НАТО, а також за іншими цілями в Європейському Союзі та Африці. .
Цей час також узгоджується з серією атак на канадську інфраструктуру, яка, як вважають, також пов’язана з Росією.
Служба військової контррозвідки Польщі та команда CERT у Польщі 13 квітня опублікували тривогу разом із індикаторами компрометації, попереджаючи потенційних цілей шпигунської кампанії про загрозу. Нобелій, як групу позначає Microsoft, також названа APT29 від Mandiant, не новачок у державній шпигунській грі, група стояла за сумнозвісною Атака на ланцюг поставок SolarWinds майже три роки тому.
Тепер APT29 повернувся з цілим новим набором інструментів зловмисного програмного забезпечення та повідомленими наказами про проникнення в дипломатичний корпус країн, які підтримують Україну, пояснили польські військові та CERT.
APT29 повертається з новими замовленнями
Відповідно до польського попередження, у кожному випадку розширена постійна загроза (APT) починає свою атаку з добре продуманого фішингового електронного листа.
«Електронні листи, які видавали себе за посольства європейських країн, були надіслані обраному персоналу на дипломатичних посадах», – пояснила влада. «У листуванні було запрошення на зустріч чи спільну роботу над документами».
Потім повідомлення спрямовуватиме одержувача натиснути посилання або завантажити PDF-файл, щоб отримати доступ до календаря посла, або отримати деталі зустрічі — і те, і інше надсилатиме цілі на шкідливий сайт, завантажений «сценарієм підпису» групи загроз, який у звіті визначено як «Envyscout».
"Яt використовує техніку HTML-контрабанди — за допомогою якої шкідливий файл, розміщений на сторінці, декодується за допомогою JavaScript, коли сторінка відкривається, а потім завантажується на пристрій жертви», — додала польська влада. «Це ускладнює виявлення шкідливого файлу на стороні сервера, де він зберігається».
Шкідливий сайт також надсилає цілям повідомлення, запевняючи, що вони завантажили правильний файл, йдеться у попередженні.
«Фішингові атаки є успішними, якщо повідомлення добре написане, використовує особисту інформацію, щоб продемонструвати знайомство з ціллю, і виглядає так, що воно походить із законного джерела», — розповідає про кампанію Dark Reading Патрік Харр, генеральний директор SlashNext. «Ця шпигунська кампанія відповідає всім критеріям успіху».
Один фішинговий електронний лист, наприклад, імітував польське посольство, і, що цікаво, протягом спостережуваної кампанії інструмент Envyscout був тричі налаштований із покращенням обфускації, зазначила польська влада.
Після зламу група використовує модифіковані версії завантажувача Snowyamber Halfrig, який запускає Кобальтовий удар як вбудований код, і Quarterrig, який ділиться кодом з Halfrig, йдеться в польському попередженні.
«Ми бачимо збільшення кількості таких атак, коли зловмисник використовує кілька етапів кампанії, щоб налаштувати та покращити успіх», — додає Харр. «Вони використовують методи автоматизації та машинного навчання, щоб визначити, що ухиляється від виявлення, і модифікувати наступні атаки для підвищення успіху».
Уряди, дипломати, міжнародні організації та неурядові організації (НУО) повинні бути напоготові щодо цього та інших російських шпигунських зусиль, за словами польських органів кібербезпеки.
«Служба військової контррозвідки та CERT.PL наполегливо рекомендують усім організаціям, які можуть перебувати в зоні інтересів актора, внести зміни в конфігурацію, щоб порушити механізм доставки, який використовувався в описаній кампанії», — заявили чиновники.
Пов'язані з Росією атаки на інфраструктуру Канади
Окрім попереджень від польських чиновників з кібербезпеки, минулого тижня прем’єр-міністр Канади Джастін Трюдо зробив публічні заяви про недавній спалах Кібератаки, пов'язані з Росією спрямовані на канадську інфраструктуру, в т.ч атаки на відмову в обслуговуванні на гідро-Квебек, електричне підприємство, веб-сайт офісу Трюдо, порт Квебек та Лаврентійський банк. Трюдо заявив, що кібератаки пов'язані з підтримкою України Канадою.
"Кілька атак типу «відмова в обслуговуванні» на урядові веб-сайти, які вивели їх з ладу на кілька годин, не змусять нас переглянути нашу однозначну позицію робити все, що потрібно, стільки, скільки потрібно для підтримки України», – сказав Трюдо. , згідно з повідомленнями.
Керівник Канадського центру кібербезпеки Самі Хурі сказав на прес-конференції минулого тижня, що хоча інфраструктурі Канади не було завдано шкоди, «загроза реальна». «Якщо ви керуєте критично важливими системами, які живлять наші спільноти, пропонуйте Інтернет доступу до канадців, надання медичної допомоги або взагалі керування будь-якими службами, без яких канадці не можуть обійтися, ви повинні захистити свої системи», — сказав Хурі. «Моніторинг ваших мереж. Застосуйте пом'якшення».
Зусилля Росії проти кіберзлочинності тривають
Оскільки російське вторгнення в Україну триває вже другий рік, Майк Паркін із Vulcan Cyber каже, що останні кампанії навряд чи повинні бути несподіванкою.
«Спільнота кібербезпеки спостерігала за наслідками та супутніми збитками від конфлікту в Україні з моменту його початку, і ми знаємо, що російські та проросійські загрозливі суб’єкти діяли проти західних цілей», Паркін каже. «Враховуючи рівень кіберзлочинної діяльності, з якою ми вже мали справу, [це] лише деякі нові інструменти та нові цілі — і нагадування про те, щоб наші засоби захисту були актуальними та правильно налаштованими».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks
- :є
- $UP
- 7
- a
- МЕНЮ
- доступ
- За
- активний
- діяльність
- актори
- доданий
- Додає
- просунутий
- Африка
- проти
- Оповіщення
- ВСІ
- вже
- Посол
- та
- з'являтися
- Застосовувати
- квітня
- APT
- ЕСТЬ
- ПЛОЩА
- AS
- At
- атака
- нападки
- Влада
- Автоматизація
- назад
- поганий
- Банк
- BE
- за
- вважається,
- Бос
- Приведення
- by
- Календар
- Кампанія
- Кампанії
- CAN
- Канада
- Канадський
- Канадці
- який
- Викликати
- центр
- Генеральний директор
- ланцюг
- Зміни
- клацання
- код
- Заставу
- Приходити
- зв'язку
- спільноти
- співтовариство
- компроміс
- Компрометація
- конференція
- конфігурація
- конфлікт
- країни
- Пара
- Курс
- Критерії
- критичний
- кібер-
- кібер-безпеки
- кібератаки
- кіберзлочинності
- КІБЕРЗЛОЧИНЦІВ
- Кібербезпека
- темно
- Темне читання
- Дата
- справу
- доставка
- демонструвати
- описаний
- призначені
- деталі
- Виявлення
- пристрій
- важкий
- дипломати
- прямий
- Зривати
- документація
- справи
- вниз
- скачати
- зусилля
- електричний
- повідомлення електронної пошти
- вбудований
- юридичні особи
- шпигунство
- Європейська
- Європейські країни
- european union
- Кожен
- пояснені
- опади
- Знайомство
- кілька
- філе
- для
- іноземні
- свіжий
- від
- гра
- в цілому
- отримати
- буде
- Уряд
- Group
- хакер
- здоров'я
- Охорона здоров'я
- Високий
- ГОДИННИК
- HTTPS
- ідентифікує
- ідентифікувати
- здійснювати
- удосконалювати
- поліпшення
- in
- У тому числі
- Augmenter
- індикатори
- ганебний
- інформація
- Інфраструктура
- екземпляр
- Інтелект
- інтерес
- Міжнародне покриття
- інтернет
- Доступ в інтернет
- вторгнення
- запрошення
- Випущений
- IT
- ЙОГО
- JavaScript
- JPG
- Джастін
- Джастін Трюдо
- відомий
- останній
- запуск
- вивчення
- рівні
- LINK
- пов'язаний
- Довго
- машина
- навчання за допомогою машини
- made
- зробити
- РОБОТИ
- шкідливих програм
- Може..
- механізм
- засідання
- відповідає
- повідомлення
- Microsoft
- військовий
- модифікований
- змінювати
- монітор
- більше
- множинний
- Названий
- майже
- мереж
- Нові
- новини
- НВО
- зазначив,
- of
- пропонувати
- Office
- on
- постійний
- відкритий
- працювати
- замовлень
- організації
- Інше
- сторінка
- частина
- Минуле
- персонал
- Персонал
- plato
- Інформація про дані Платона
- PlatoData
- Польща
- полірування
- Пости
- потенціал
- влада
- Prime
- прем'єр-міністр
- правильно
- захист
- забезпечувати
- громадськість
- Лють
- читання
- реальний
- обнадійливі
- останній
- рекомендувати
- пов'язаний
- звітом
- Повідомляється
- прогін
- Росія
- російський
- s
- Зазначений
- говорить
- другий
- безпеку
- бачачи
- обраний
- обслуговування
- Послуги
- комплект
- акції
- Повинен
- сторона
- з
- сайт
- SolarWinds
- деякі
- Source
- етапи
- почалася
- заяви
- Штати
- зберігати
- наступні
- успіх
- успішний
- поставка
- ланцюжка поставок
- підтримка
- підтримуючий
- сюрприз
- Systems
- приймає
- Мета
- цілі
- команда
- методи
- розповідає
- Що
- Команда
- Їх
- Ці
- загроза
- актори загроз
- три
- по всьому
- час
- times
- синхронізація
- до
- разом
- інструмент
- інструменти
- Трюдо
- Ukraine
- союз
- us
- використання
- утиліта
- використовує
- Ve
- Жертва
- вулкан
- заробітна плата
- попередження
- спостереження
- веб-сайт
- веб-сайти
- week
- ДОБРЕ
- Western
- Що
- Що таке
- який
- в той час як
- всі
- з
- без
- Work
- працювати разом
- б
- письмовий
- рік
- років
- Ти
- вашу
- зефірнет