臭名昭著的 SolarWinds 攻击背后的俄罗斯支持组织正在针对在乌克兰大使馆工作的“数量惊人”的外国外交官,其诱饵比通常用来引诱他们点击恶意链接的传统政治手段更为个人化。
Palo Alto Networks Unit 42 的研究人员观察了该组织,并将其追踪为 斗篷熊 但它更广为人知的名称是 Nobelium/APT29——一种出行工具。
该活动的最初诱饵似乎是使用合法的传单在基辅出售一辆二手宝马轿车,该传单由波兰外交部的一名外交官分发到各个大使馆。研究人员指出,虽然看起来相当无辜,但从值得信赖的外交官那里出售一辆可靠的汽车——尤其是在乌克兰这样饱受战争蹂躏的地区——肯定会引起新来者的注意。
Cloaked Ursa 将此视为一个机会,重新利用该传单创建了自己的非法传单,两周后该组织将其发送给多个外交使团,作为其恶意软件活动的诱饵。该组织在消息中包含一个恶意链接,称目标可以在那里找到更多汽车照片。如果受害者点击该链接,他们会发现的不仅仅是照片,该链接会在后台静默执行恶意软件,同时所选图像会显示在受害者的屏幕上。
该活动的有效负载是一种基于 JavaScript 的恶意软件,它为攻击者提供了进入受害者系统的间谍后门,并能够通过命令和控制 (C2) 连接加载更多恶意代码。
高级持续性威胁 (APT) 是有预谋地生成目标列表的,大约 80% 的目标受害者使用公开的大使馆电子邮件地址,而另外 20% 的受害者使用在表面网络上找不到的未公开的电子邮件地址。 Unit 42 表示,这可能是“最大化他们对所需网络的访问”。
研究人员观察到“斗篷熊”针对乌克兰境内 22 个外国使团中的 80 个进行了攻击,但他们表示,实际目标数量可能更高。
Unit 42 表示:“对于通常范围狭窄的秘密 APT 行动来说,其范围是惊人的。”
恶意软件网络策略的变化
研究人员在报告中透露,这是利用与工作相关的主题作为诱饵的战略支点。 博客文章 本周公布。
研究人员写道:“这些非常规诱饵旨在诱使接收者根据自己的需要和愿望打开附件,而不是作为其日常职责的一部分。”
研究人员表示,诱饵策略的这种改变可能是为了增加活动的成功因素,不仅会损害最初的目标,还会损害同一组织内的其他目标,从而扩大其影响范围。
他们在帖子中写道:“诱饵本身广泛适用于整个外交界,因此能够发送并转发到更多的目标。” “它们也更有可能被转发给组织内部以及外交界内的其他人。”
Cloaked Ursa/Nobelium/APT29 是一个与俄罗斯对外情报局 (SVR) 相关的国家资助组织,最出名的可能是 SolarWinds攻击,始于 2020 年 18,000 月发现的一个后门,该后门通过受感染的软件更新传播到约 XNUMX 个组织,并且仍在对整个软件供应链产生影响。
从那时起,该组织一直保持活跃,发起了一系列活动 攻击 符合俄罗斯反对的总体地缘政治立场 各外交部和外交官和美国政府。各种事件的共同点是 策略和定制恶意软件开发的复杂性.
Unit 42 指出与 Cloaked Ursa 其他已知活动的相似之处,包括攻击目标以及与该组织其他已知恶意软件的代码重叠。
减轻对公民社会的 APT 网络攻击
研究人员为执行外交任务的人员提供了一些建议,以避免成为像 Cloaked Ursa 这样的 APT 复杂而巧妙的攻击的牺牲品。一是管理人员在新任命的外交官抵达之前对他们进行有关该地区网络安全威胁的培训。
一般来说,政府或企业员工应始终对下载保持谨慎,即使是来自看似无害或合法的网站,并且在使用 URL 缩短服务时采取额外的预防措施来观察 URL 重定向,因为这可能是网络钓鱼攻击的标志。
研究人员表示,人们还应该密切关注电子邮件附件,以避免成为网络钓鱼的受害者。他们应该验证文件扩展名类型,以确保他们打开的文件是他们想要的文件,避免使用扩展名不匹配或试图混淆文件性质的文件。
最后,研究人员建议外交员工通常禁用 JavaScript,这将使任何基于该编程语言的恶意软件无法执行。
- :具有
- :是
- :不是
- 000
- 2020
- 22
- 7
- 80
- a
- 对,能力--
- Able
- 关于
- ACCESS
- 根据
- 横过
- 要积极。
- 实际
- 地址
- 管理员
- 高级
- 忠告
- 事务
- 驳
- 对齐
- 还
- 时刻
- an
- 和
- 任何
- 出现
- 相应
- APT
- 保健
- 国家 / 地区
- 围绕
- 到来
- AS
- 分配
- 相关
- At
- 攻击
- 攻击
- 关注我们
- 可使用
- 避免
- 避免
- 后门
- 背景
- 饵
- 基于
- BE
- 背后
- 作为
- 最佳
- 更好
- 位
- 博客
- 宝马
- 都
- 宽广地
- 但是
- by
- 营销活动
- 活动
- CAN
- 汽车
- 谨慎
- 链
- 更改
- 点击
- 关闭
- 码
- 相当常见
- 社体的一部分
- 妥协
- 地都
- 公司
- 可以
- 创建信息图
- 习俗
- 网络
- 网络攻击
- 网络安全
- 十二月
- 无疑
- 设计
- 期望
- 外交官
- 发现
- 显示器
- 不
- 下载
- 画
- 邮箱地址
- 电子邮件
- 员工
- 确保
- 特别
- 甚至
- 执行
- 执行
- 延长
- 延期
- 扩展
- 额外
- 因素
- 相当
- 落下
- 文件
- 档
- 找到最适合您的地方
- 针对
- 国外
- 发现
- 止
- 进一步
- 其他咨询
- 通常
- 生成
- 地缘政治
- 得到
- 给
- 政府
- 更大的
- 团队
- 有
- 更高
- HTTPS
- if
- 图片
- 影响力故事
- in
- 包括
- 包含
- 增加
- 臭名昭著
- 初始
- 无辜
- 内
- 代替
- 房源搜索
- 成
- IT
- 它的
- JavaScript的
- 工作机会
- JPG
- 只是
- 已知
- 语言
- 后来
- 合法
- 喜欢
- 容易
- 友情链接
- 链接
- 清单
- 加载
- 恶意软件
- 匹配
- 问题
- 生产力
- 的话
- 事工
- 任务
- 更多
- 移动
- 多
- 自然
- 需要
- 网络
- 全新
- 新
- 通常
- 注意到
- 数
- 观察
- of
- 最多线路
- on
- 一
- 仅由
- 打开
- 开放
- 运营
- ZAP优势
- or
- 组织
- 组织
- 其他名称
- 其它
- 最划算
- 己
- 帕洛阿尔托
- 部分
- 员工
- 也许
- 个人
- 钓鱼
- 网络钓鱼攻击
- 图片
- 枢
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 波兰语
- 政治
- 帖子
- 先
- 代码编程
- 公然
- 出版
- 达到
- 地区
- 有关
- 可靠
- 保持
- 研究人员
- 揭密
- 第
- 俄罗斯
- s
- 说
- 盐
- 同
- 说
- 现场
- 范围
- 屏风
- 似乎
- 似乎
- 选
- 发送
- 系列
- 服务
- 特色服务
- 应该
- 显示
- 相似之处
- 自
- 网站
- 软件
- SolarWinds的
- 一些
- 东西
- 极致
- 传播
- 开始
- 仍
- 善用
- 主题
- 成功
- 供应
- 供应链
- 磁化面
- 系统
- 策略
- 采取
- 目标
- 针对
- 瞄准
- 目标
- 比
- 这
- 其
- 他们
- 他们自己
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 本星期
- 威胁
- 威胁
- 通过
- 至
- 跟踪时
- 传统
- 培训
- 信任
- 二
- 类型
- 乌克兰
- 无法
- 非传统的
- 单元
- 最新动态
- 网址
- us
- 美国政府
- 使用
- 用过的
- 运用
- 各个
- 汽车
- 确认
- 通过
- 受害者
- 受害者
- 想
- 希望
- 是
- 卷筒纸
- 周
- 周
- 井
- 什么是
- ,尤其是
- 这
- 而
- 中
- 加工
- 将
- 写
- 和风网