SolarWinds 攻击者悬挂宝马来监视外交官

臭名昭著的 SolarWinds 攻击背后的俄罗斯支持组织正在针对在乌克兰大使馆工作的“数量惊人”的外国外交官，其诱饵比通常用来引诱他们点击恶意链接的传统政治手段更为个人化。

Palo Alto Networks Unit 42 的研究人员观察了该组织，并将其追踪为 斗篷熊 但它更广为人知的名称是 Nobelium/APT29——一种出行工具。

该活动的最初诱饵似乎是使用合法的传单在基辅出售一辆二手宝马轿车，该传单由波兰外交部的一名外交官分发到各个大使馆。研究人员指出，虽然看起来相当无辜，但从值得信赖的外交官那里出售一辆可靠的汽车——尤其是在乌克兰这样饱受战争蹂躏的地区——肯定会引起新来者的注意。

Cloaked Ursa 将此视为一个机会，重新利用该传单创建了自己的非法传单，两周后该组织将其发送给多个外交使团，作为其恶意软件活动的诱饵。该组织在消息中包含一个恶意链接，称目标可以在那里找到更多汽车照片。如果受害者点击该链接，他们会发现的不仅仅是照片，该链接会在后台静默执行恶意软件，同时所选图像会显示在受害者的屏幕上。

该活动的有效负载是一种基于 JavaScript 的恶意软件，它为攻击者提供了进入受害者系统的间谍后门，并能够通过命令和控制 (C2) 连接加载更多恶意代码。

高级持续性威胁 (APT) 是有预谋地生成目标列表的，大约 80% 的目标受害者使用公开的大使馆电子邮件地址，而另外 20% 的受害者使用在表面网络上找不到的未公开的电子邮件地址。 Unit 42 表示，这可能是“最大化他们对所需网络的访问”。

研究人员观察到“斗篷熊”针对乌克兰境内 22 个外国使团中的 80 个进行了攻击，但他们表示，实际目标数量可能更高。

Unit 42 表示：“对于通常范围狭窄的秘密 APT 行动来说，其范围是惊人的。”

恶意软件网络策略的变化

研究人员在报告中透露，这是利用与工作相关的主题作为诱饵的战略支点。 博客文章 本周公布。

研究人员写道：“这些非常规诱饵旨在诱使接收者根据自己的需要和愿望打开附件，而不是作为其日常职责的一部分。”

研究人员表示，诱饵策略的这种改变可能是为了增加活动的成功因素，不仅会损害最初的目标，还会损害同一组织内的其他目标，从而扩大其影响范围。

他们在帖子中写道：“诱饵本身广泛适用于整个外交界，因此能够发送并转发到更多的目标。” “它们也更有可能被转发给组织内部以及外交界内的其他人。”

Cloaked Ursa/Nobelium/APT29 是一个与俄罗斯对外情报局 (SVR) 相关的国家资助组织，最出名的可能是 SolarWinds攻击，始于 2020 年 18,000 月发现的一个后门，该后门通过受感染的软件更新传播到约 XNUMX 个组织，并且仍在对整个软件供应链产生影响。

从那时起，该组织一直保持活跃，发起了一系列活动 攻击 符合俄罗斯反对的总体地缘政治立场 各外交部和外交官和美国政府。各种事件的共同点是 策略和定制恶意软件开发的复杂性.

Unit 42 指出与 Cloaked Ursa 其他已知活动的相似之处，包括攻击目标以及与该组织其他已知恶意软件的代码重叠。

减轻对公民社会的 APT 网络攻击

研究人员为执行外交任务的人员提供了一些建议，以避免成为像 Cloaked Ursa 这样的 APT 复杂而巧妙的攻击的牺牲品。一是管理人员在新任命的外交官抵达之前对他们进行有关该地区网络安全威胁的培训。

一般来说，政府或企业员工应始终对下载保持谨慎，即使是来自看似无害或合法的网站，并且在使用 URL 缩短服务时采取额外的预防措施来观察 URL 重定向，因为这可能是网络钓鱼攻击的标志。

研究人员表示，人们还应该密切关注电子邮件附件，以避免成为网络钓鱼的受害者。他们应该验证文件扩展名类型，以确保他们打开的文件是他们想要的文件，避免使用扩展名不匹配或试图混淆文件性质的文件。

最后，研究人员建议外交员工通常禁用 JavaScript，这将使任何基于该编程语言的恶意软件无法执行。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats