Những kẻ tấn công SolarWinds treo BMW để theo dõi các nhà ngoại giao

Những kẻ tấn công SolarWinds treo BMW để theo dõi các nhà ngoại giao

Dấu thời gian: 13:2023 sáng ngày 11 tháng 48 năm XNUMX
SolarWinds Attackers Dangle BMWs to Spy on Diplomats PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Nhóm được Nga hậu thuẫn đằng sau vụ tấn công SolarWinds khét tiếng đang nhắm mục tiêu “một số lượng đáng kinh ngạc” các nhà ngoại giao nước ngoài làm việc tại các đại sứ quán ở Ukraine bằng những chiêu dụ mang tính cá nhân hơn một chút so với chính trị truyền thống thường được dùng để lôi kéo họ nhấp vào các liên kết độc hại.

Các nhà nghiên cứu từ Đơn vị 42 của Palo Alto Networks đã quan sát nhóm - mà họ theo dõi là Ursa mặc áo choàng nhưng được biết đến nhiều hơn với cái tên Nobelium/APT29 - một phương tiện để di chuyển.

Mồi nhử ban đầu trong chiến dịch dường như là sử dụng một tờ rơi hợp pháp để bán một chiếc sedan BMW đã qua sử dụng ở Kyiv, tờ rơi này đã được một nhà ngoại giao trong Bộ Ngoại giao Ba Lan lan truyền tới nhiều đại sứ quán khác nhau. Các nhà nghiên cứu lưu ý rằng mặc dù có vẻ khá vô hại nhưng việc bán một chiếc ô tô đáng tin cậy từ một nhà ngoại giao đáng tin cậy - đặc biệt là ở khu vực bị chiến tranh tàn phá như Ukraine - chắc chắn có thể thu hút sự chú ý của những người mới đến hiện trường.

Đây là điều mà Cloaked Ursa coi đó là một cơ hội, sử dụng lại tờ rơi để tạo ra một tờ rơi bất hợp pháp của riêng mình, thứ mà nhóm này đã gửi đến nhiều cơ quan ngoại giao hai tuần sau đó để làm mồi nhử cho chiến dịch phần mềm độc hại của mình. Nhóm này đưa vào tin nhắn một liên kết độc hại, nói rằng mục tiêu có thể tìm thấy thêm hình ảnh của chiếc xe ở đó. Nạn nhân không chỉ tìm thấy những bức ảnh nếu họ nhấp vào liên kết, liên kết này sẽ thực thi phần mềm độc hại một cách âm thầm trong nền trong khi hình ảnh đã chọn hiển thị trên màn hình của nạn nhân.

Trọng tải của chiến dịch là một phần mềm độc hại dựa trên JavaScript cung cấp cho kẻ tấn công một cửa hậu sẵn sàng cho hoạt động gián điệp vào hệ thống của nạn nhân và khả năng tải thêm mã độc thông qua kết nối lệnh và kiểm soát (C2).

Mối đe dọa dai dẳng nâng cao (APT) cho thấy có sự tính toán trước để tạo danh sách mục tiêu, sử dụng địa chỉ email đại sứ quán có sẵn công khai cho khoảng 80% nạn nhân được nhắm mục tiêu và 20% địa chỉ email chưa được công bố không được tìm thấy trên Web bề mặt. Theo Đơn vị 42, điều này có thể “để tối đa hóa quyền truy cập của họ vào các mạng mong muốn”.

Các nhà nghiên cứu đã quan sát Áo choàng Ursa thực hiện chiến dịch chống lại 22 trong số 80 phái đoàn nước ngoài ở Ukraine, nhưng số lượng mục tiêu thực tế có thể cao hơn, họ cho biết.

Theo Đơn vị 42, “Đây là phạm vi đáng kinh ngạc đối với những hoạt động APT có phạm vi hẹp và bí mật nói chung”.

Sự thay đổi trong chiến thuật mạng của phần mềm độc hại

Các nhà nghiên cứu tiết lộ rằng đó là một bước đi chiến lược từ việc sử dụng chủ đề liên quan đến công việc của họ làm mồi nhử. một bài đăng blog xuất bản trong tuần này.

Các nhà nghiên cứu viết: “Những chiêu dụ độc đáo này được thiết kế để lôi kéo người nhận mở tệp đính kèm dựa trên nhu cầu và mong muốn của chính họ thay vì như một phần nhiệm vụ thường ngày của họ”.

Các nhà nghiên cứu đề xuất, sự thay đổi trong chiến thuật thu hút này có thể là một động thái nhằm tăng yếu tố thành công của chiến dịch không chỉ nhằm thỏa hiệp mục tiêu ban đầu mà còn với những mục tiêu khác trong cùng tổ chức, từ đó mở rộng phạm vi tiếp cận của nó.

Họ viết trong bài đăng: “Bản thân những lời dụ dỗ được áp dụng rộng rãi trong cộng đồng ngoại giao, và do đó có thể được gửi và chuyển tiếp đến nhiều mục tiêu hơn”. “Chúng cũng có nhiều khả năng được chuyển tiếp đến những người khác trong một tổ chức cũng như trong cộng đồng ngoại giao.”

Cloaked Ursa/Nobelium/APT29, là một nhóm được nhà nước bảo trợ có liên kết với Cơ quan Tình báo Nước ngoài (SVR) của Nga, có lẽ được biết đến nhiều nhất với Tấn công SolarWinds, bắt đầu bằng một cửa hậu được phát hiện vào tháng 2020 năm 18,000, lan sang khoảng XNUMX tổ chức thông qua các bản cập nhật phần mềm bị nhiễm độc — và vẫn đang có tác động trên toàn chuỗi cung ứng phần mềm.

Nhóm vẫn hoạt động liên tục kể từ đó, tạo ra một loạt các cuộc tấn công phù hợp với lập trường địa chính trị tổng thể của Nga chống lại nhiều bộ ngoại giao và các nhà ngoại giao, và chính phủ Hoa Kỳ. Mẫu số chung của các sự cố là sự tinh vi trong cả chiến thuật và phát triển phần mềm độc hại tùy chỉnh.

Đơn vị 42 ghi nhận những điểm tương đồng với các chiến dịch đã biết khác của Cloaked Ursa, bao gồm các mục tiêu của cuộc tấn công và mã trùng lặp với phần mềm độc hại đã biết khác của nhóm.

Giảm thiểu các cuộc tấn công mạng APT vào xã hội dân sự

Các nhà nghiên cứu đưa ra một số lời khuyên cho những người làm nhiệm vụ ngoại giao để tránh trở thành nạn nhân của các cuộc tấn công tinh vi và thông minh của các APT như Cloaked Ursa. Một là các quản trị viên đào tạo các nhà ngoại giao mới được bổ nhiệm về các mối đe dọa an ninh mạng đối với khu vực trước khi họ đến.

Nhân viên chính phủ hoặc công ty nói chung phải luôn thận trọng với các lượt tải xuống, ngay cả từ các trang web có vẻ vô hại hoặc hợp pháp, cũng như thực hiện các biện pháp phòng ngừa bổ sung để quan sát chuyển hướng URL khi sử dụng dịch vụ rút ngắn URL, vì đây có thể là dấu hiệu của một cuộc tấn công lừa đảo.

Các nhà nghiên cứu cho biết mọi người cũng nên chú ý đến các tệp đính kèm trong email để tránh trở thành nạn nhân của lừa đảo. Họ nên xác minh loại phần mở rộng tệp để đảm bảo rằng tệp họ đang mở là tệp họ muốn, tránh các tệp có phần mở rộng không khớp hoặc cố gắng làm xáo trộn bản chất của tệp.

Cuối cùng, các nhà nghiên cứu đề xuất rằng các nhân viên ngoại giao nên vô hiệu hóa JavaScript như một quy tắc, điều này sẽ khiến mọi phần mềm độc hại dựa trên ngôn ngữ lập trình không thể thực thi được.

Dấu thời gian:

Thêm từ Đọc tối