Thủ phạm SolarWinds của Nga tung ra hàng loạt cuộc tấn công mạng gián điệp mới

Là một phần của cuộc xâm lược Ukraine đang diễn ra, tình báo Nga một lần nữa sử dụng dịch vụ của nhóm tin tặc Nobelium/APT29, lần này là để theo dõi các bộ ngoại giao và các nhà ngoại giao từ các quốc gia thành viên NATO, cũng như các mục tiêu khác ở Liên minh châu Âu và châu Phi. .

Thời điểm cũng phù hợp với một loạt các cuộc tấn công vào cơ sở hạ tầng của Canada, cũng được cho là có liên quan đến Nga.

Cơ quan phản gián quân sự Ba Lan và nhóm CERT ở Ba Lan đã đưa ra cảnh báo vào ngày 13 tháng XNUMX, cùng với các dấu hiệu thỏa hiệp, cảnh báo các mục tiêu tiềm năng của chiến dịch gián điệp về mối đe dọa. Nobeli, vì nhóm được chỉ định bởi Microsoft, cũng được đặt tên APT29 bởi Mandiant, không phải là mới đối với trò chơi gián điệp quốc gia, nhóm này đứng đằng sau vụ án khét tiếng Cuộc tấn công chuỗi cung ứng của SolarWinds gần ba năm trước.

Giờ đây, APT29 đã quay trở lại với một bộ công cụ phần mềm độc hại hoàn toàn mới và báo cáo lệnh hành quân xâm nhập vào cơ quan ngoại giao của các quốc gia ủng hộ Ukraine, quân đội Ba Lan và cảnh báo CERT giải thích.

APT29 Trở Lại Với Đơn Hàng Mới

Trong mọi trường hợp, mối đe dọa liên tục nâng cao (APT) bắt đầu cuộc tấn công của nó bằng một email lừa đảo được hình thành rõ ràng, theo cảnh báo của Ba Lan.

Nhà chức trách giải thích: “Các email mạo danh đại sứ quán của các nước châu Âu đã được gửi đến các nhân viên được chọn tại các cơ quan ngoại giao”. “Thư từ chứa đựng lời mời họp hoặc làm việc cùng nhau trên các tài liệu.”

Sau đó, tin nhắn sẽ hướng người nhận nhấp vào liên kết hoặc tải xuống tệp PDF để truy cập lịch của đại sứ hoặc nhận thông tin chi tiết về cuộc họp — cả hai đều gửi mục tiêu đến một trang web độc hại được tải bằng “tập lệnh chữ ký” của nhóm đe dọa mà báo cáo xác định là “Trinh sát ghen tị.”

"Tôit sử dụng kỹ thuật buôn lậu HTML — theo đó một tệp độc hại được đặt trên trang được giải mã bằng JavaScript khi trang được mở và sau đó được tải xuống thiết bị của nạn nhân,” nhà chức trách Ba Lan cho biết thêm. “Điều này làm cho tệp độc hại khó phát hiện hơn ở phía máy chủ nơi nó được lưu trữ.”

Trang web độc hại cũng gửi cho các mục tiêu một thông báo trấn an họ rằng họ đã tải xuống đúng tệp, cảnh báo cho biết.

Patrick Harr, Giám đốc điều hành của SlashNext, nói với Dark Reading về chiến dịch: “Các cuộc tấn công lừa đảo thành công khi thông tin liên lạc được viết tốt, sử dụng thông tin cá nhân để chứng minh sự quen thuộc với mục tiêu và dường như đến từ một nguồn hợp pháp. “Chiến dịch gián điệp này đáp ứng tất cả các tiêu chí để thành công.”

Một email lừa đảochẳng hạn, đã mạo danh đại sứ quán Ba Lan, và thật thú vị, trong suốt quá trình của chiến dịch được quan sát, công cụ Envyscout đã được điều chỉnh ba lần với các cải tiến về che giấu, nhà chức trách Ba Lan lưu ý.

Sau khi bị xâm nhập, nhóm sử dụng các phiên bản sửa đổi của trình tải xuống Snowyamber, Halfrig, chạy coban tấn công cảnh báo của Ba Lan cho biết.

Harr cho biết thêm: “Chúng tôi đang chứng kiến ​​sự gia tăng của các cuộc tấn công này khi kẻ xấu sử dụng nhiều giai đoạn trong một chiến dịch để điều chỉnh và cải thiện thành công. “Họ sử dụng các kỹ thuật tự động hóa và học máy để xác định những gì đang trốn tránh sự phát hiện và sửa đổi các cuộc tấn công tiếp theo để cải thiện thành công.”
Theo các cơ quan an ninh mạng Ba Lan, các chính phủ, nhà ngoại giao, tổ chức quốc tế và tổ chức phi chính phủ (NGO) nên cảnh giác cao độ về điều này và các nỗ lực gián điệp khác của Nga.

“Dịch vụ phản gián quân sự và CERT.PL khuyến nghị mạnh mẽ rằng tất cả các thực thể có thể nằm trong khu vực quan tâm của kẻ tấn công thực hiện các thay đổi cấu hình để phá vỡ cơ chế phân phối được sử dụng trong chiến dịch được mô tả,” các quan chức cho biết.

Các cuộc tấn công liên kết với Nga vào cơ sở hạ tầng của Canada

Bên cạnh những cảnh báo từ các quan chức an ninh mạng Ba Lan, trong tuần qua, Thủ tướng Canada Justin Trudeau đã có những tuyên bố công khai về một loạt vụ tấn công gần đây. Các cuộc tấn công mạng có liên quan đến Nga nhằm vào cơ sở hạ tầng của Canada, bao gồm sự từ chối của dịch vụ tấn công trên Hydro-Québec, công ty điện lực, trang web của văn phòng Trudeau, Cảng Quebecvà Ngân hàng Laurentian. Thủ tướng Trudeau cho biết các cuộc tấn công mạng có liên quan đến việc Canada hỗ trợ Ukraine.

"Một vài cuộc tấn công từ chối dịch vụ vào các trang web của chính phủ, khiến chúng bị sập trong vài giờ, sẽ không khiến chúng tôi phải suy nghĩ lại về lập trường rõ ràng của mình về việc làm bất cứ điều gì cần thiết miễn là hỗ trợ Ukraine,” ông Trudeau nói. , theo các báo cáo.

Giám đốc Trung tâm An ninh mạng Canada, Sami Khoury, cho biết tại một cuộc họp báo vào tuần trước rằng mặc dù không có thiệt hại nào đối với cơ sở hạ tầng của Canada, nhưng "mối đe dọa là có thật.""Nếu bạn vận hành các hệ thống quan trọng cung cấp năng lượng cho cộng đồng của chúng ta, hãy cung cấp Internet tiếp cận người Canada, cung cấp dịch vụ chăm sóc sức khỏe hoặc vận hành bất kỳ dịch vụ nào mà người Canada không thể thiếu, thì bạn phải bảo vệ hệ thống của mình,” Khoury nói. “Giám sát mạng của bạn. Áp dụng các biện pháp giảm nhẹ.”

Những nỗ lực tội phạm mạng của Nga đang hoành hành

Khi cuộc xâm lược Ukraine của Nga tiến vào năm thứ hai, Mike Parkin của Vulcan Cyber ​​nói rằng các chiến dịch gần đây hầu như không gây ngạc nhiên.

“Cộng đồng an ninh mạng đã theo dõi hậu quả và thiệt hại tài sản thế chấp từ cuộc xung đột ở Ukraine kể từ khi nó bắt đầu, và chúng tôi biết các tác nhân đe dọa Nga và thân Nga đã hoạt động chống lại các mục tiêu phương Tây,” parkin nói. “Xem xét mức độ hoạt động của tội phạm mạng mà chúng tôi đã xử lý, [đây là] chỉ một số công cụ mới và mục tiêu mới — và một lời nhắc nhở để đảm bảo hệ thống phòng thủ của chúng tôi được cập nhật và định cấu hình đúng cách.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks