俄罗斯情报机构通过快速网络攻击瞄准全球受害者

俄罗斯情报机构通过快速网络攻击瞄准全球受害者

时间戳记:20年2024月7日上午04:XNUMX

俄罗斯国家黑客正在四大洲至少九个国家开展有针对性的网络钓鱼活动。他们的电子邮件兜售政府官方业务,如果成功,不仅会威胁到敏感的组织数据,还会威胁到具有战略重要性的地缘政治情报。

如此复杂、多管齐下的阴谋只能由像这样多产的团体才能完成 花式熊 (又名 APT28、Forest Blizzard、Frozenlake、Sofacy Group、Strontium、UAC-028 以及更多别名),IBM X-Force 在其中将其追踪为 ITG05 一个新的报告.

除了令人信服的政府主题诱饵和三种新的自定义后门变体之外,该活动最引人注目的还在于它所针对的信息:Fancy Bear 的目标似乎是俄罗斯政府使用的高度具体的信息。

政府网络钓鱼诱饵

Fancy Bear 在针对阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国的组织的活动中使用了至少 11 种独特的诱饵。

这些诱饵看起来像是与国际政府相关的官方文件,涵盖金融、关键基础设施、高管参与、网络安全、海事安全、医疗保健和国防工业生产等广泛主题。

其中一些是合法的、可公开访问的文件。有趣的是,其他人似乎是特定政府机构的内部人员,这引发了一个问题:Fancy Bear 最初是如何获得它们的。

IBM X-Force 的威胁追踪者 Claire Zaboeva 指出:“X-Force 无法深入了解 ITG05 是否已成功入侵被冒充的组织。” “由于 ITG05 可能利用未经授权的访问来收集内部文件,因此作为我们负责任的披露政策的一部分,我们已在发布之前将该活动通知给所有被模仿方。”

或者,Fancy Bear/ITGO5 可能只是模仿了真实的文件。 “例如,一些被发现的文件存在明显的错误,例如在看似正式的政府合同中,主要当事人的名字拼写错误,”她说。

潜在动机?

这些诱饵的另一个重要品质是它们非常具体。

英语示例包括格鲁吉亚非政府组织的网络安全政策文件,以及为美国海军太平洋印度洋运输工作组 (PACIOSWG) 的参与者详细介绍 2024 年贝尔浮标会议和演习 (XBB24) 的 XNUMX 月份行程。

还有以金融为主题的诱惑:一份白俄罗斯文件,其中提出了到 2025 年创造商业条件以促进跨国企业发展的建议,与欧亚经济联盟倡议保持一致;一份阿根廷经济部预算政策文件,提供了协助国际企业发展的“战略指导方针”。总统制定国家经济政策,以及更多类似的内容。

X-Force 在其活动报告中表示:“考虑到 ITG05 既定的任务空间,收集有关预算问题和全球实体安全状况的敏感信息可能是一个高度优先的目标。”

例如,阿根廷最近拒绝了加入金砖国家(巴西、俄罗斯、印度、中国、南非)贸易组织的邀请,因此“ITG05 可能会寻求获得准入机会,从而深入了解阿根廷政府的优先事项” ”,X-Force 说道。

开发后活动

除了具体性和表面上的合法性之外,攻击者还使用一种心理技巧来诱骗受害者:最初只向他们提供文档的模糊版本。如下图所示,收件人可以看到足够的细节来表明这些文档显得正式且重要,但不足以避免点击它们。

俄罗斯情报机构通过快速网络攻击瞄准全球受害者 PlatoBlockchain Data Intelligence。垂直搜索。人工智能。

诱饵文件样本;资料来源:IBM

当攻击者控制的网站上的受害者点击查看诱饵文档时,他们会下载一个名为“Masepie”的 Python 后门。它于 12 月首次被发现,能够在 Windows 计算机中建立持久性,并支持下载和上传文件以及执行任意命令。

Masepie 下载到受感染计算机的文件之一是“Oceanmap”,这是一种基于 C# 的工具,用于通过互联网消息访问协议 (IMAP) 执行命令。 Oceanmap 的原始变体(不是此处使用的变体)具有信息窃取功能,该功能已被删除并转移到“Steelhook”,这是与该活动相关的另一个 Masepie 下载的有效负载。

Steelhook 是一个 PowerShell 脚本,其作用是通过 Webhook 从 Google Chrome 和 Microsoft Edge 中窃取数据。

比其恶意软件更引人注目的是 Fancy Bear 的即时行动。作为 首先描述 乌克兰计算机紧急响应小组 (CERT-UA) 表示,Fancy Bear 感染会在登陆受害计算机的第一个小时内下载后门,并通过窃取的 NTLMv2 哈希值进行侦察和横向移动以进行中继攻击。

因此,潜在的受害者需要迅速采取行动,或者更好的是提前为感染做好准备。他们可以通过遵循 IBM 的详细建议清单来做到这一点:监控由 Fancy Bear 的托管提供商 FirstCloudIT 提供的 URL 的电子邮件,以及流向未知服务器的可疑 IMAP 流量,解决其最喜欢的漏洞,例如 CVE-2024-21413、CVE-2024 -21410、CVE-2023-23397、CVE-2023-35636 – 等等。

研究人员总结道:“ITG05 将继续利用对世界各国政府及其政治机构的攻击,为俄罗斯提供有关紧急政策决策的先进见解。”

时间戳记:

更多来自 暗读