Polonya'nın askeri karşı istihbarat hizmeti ve bilgisayar acil müdahale ekibi, Rus hükümetinin Dış İstihbarat Servisi'nin (SVR) bir kısmı olan APT29 devlet destekli bilgisayar korsanlarını NATO ve Avrupa Birliği ülkelerini hedefleyen yaygın saldırılara bağladı.
Bu kampanyanın bir parçası olarak, Siber Teslim Grubu (Cozy Bear ve Nobelium olarak da izlendi) diplomatik kuruluşlardan ve dış bakanlıklardan bilgi toplamayı amaçladı.
Bugün yayınlanan bir danışmanlık, "Raporun yayınlandığı sırada kampanya hala devam ediyor ve geliştiriliyor."
"Askeri karşı istihbarat hizmeti ve cert.pl, BT güvenlik sistemlerinin kullanımda güvenliğini artırmayı ve saldırıların tespitini artırmayı amaçlayan mekanizmalar uygulamak için aktörün ilgi alanında olabilecek tüm varlıkları tavsiye eder."
Saldırganlar, Avrupa ülkelerinin büyükelçiliklerini taklit eden ve kötü amaçlı web sitelerine veya ISO, IMG ve ZIP dosyaları aracılığıyla kötü amaçlı yazılım dağıtmak için tasarlanmış eklerle ilgili eklemeleri taklit eden mızrak kimlik avı e -postalarını kullanarak diplomatik personeli hedef aldı.
HTML kaçakçılığı yoluyla APT29 enfekte kurbanları tarafından kontrol edilen web siteleri, Snowyamber ve Quariprig olarak bilinen ve ek kötü amaçlı yazılımlar sunmak için tasarlanan indiricilerin yanı sıra Halfrig adlı bir kobalt -beacon stager.
Keşif için, saldırganların her hedefin alaka düzeyini değerlendirmelerine ve kötü amaçlı yazılım analizi için kullanılan balpotları veya VM'leri tehlikeye atıp tehlikeye atmadıklarını belirlemelerine yardımcı olmak için keşif için kullanıldı.
"Enfekte iş istasyonu manuel doğrulamayı geçerse, yukarıda belirtilen indiriciler, ticari araçlar kobalt grevini veya kaba ratel'i sunmak ve başlatmak için kullanıldı."
"Halfrig ise sözde bir yükleyici olarak çalışıyor-kobalt grev yükünü içerir ve otomatik olarak çalıştırır."
APT29, üç yıl önce birden fazla ABD federal ajansının uzlaşmasına yol açan Solarwinds tedarik zinciri saldırısına da bağlı olan Rus Dış İstihbarat Servisi (SVR) hackleme bölümüdür.
O zamandan beri, Hacking Group, Trailblazer olarak izlenen yeni bir kötü amaçlı yazılım ve Goldmax Linux Backdoor'un bir çeşidi de dahil olmak üzere yıllarca tespit edilmeyen gizli kötü amaçlı yazılımları kullanarak diğer kuruluşların ağlarını ihlal etti.
Ünite 42 ayrıca, Rus SVR siber casuslarıyla bağlantılı olduğundan şüphelenilen saldırılarda kullanılan kaba ratel düşman saldırı simülasyon aracını gözlemlemiştir.
Daha yakın zamanlarda Microsoft, APT29 bilgisayar korsanlarının Windows sistemlerindeki herkes olarak giriş yapmak için Active Directory Federasyon Hizmetleri'ni (ADFS) kaçırabilen yeni kötü amaçlı yazılım kullandığını bildirdi.
Ayrıca, dış politika bilgilerine erişme girişimlerinde NATO ülkelerindeki Microsoft 365 hesaplarını hedef aldılar ve Avrupa'daki hükümetleri, elçilikleri ve üst düzey yetkilileri hedefleyen bir kimlik avı kampanyaları dalgası düzenlediler.
Rusya, NATO'yu 2022'den beri 5.000 siber saldırı başlatmakla suçluyor
CISA, NATO ülkelerine yönelik saldırılarda sömürülen Zimbra böceği konusunda uyarıyor
Kış Vivern Hacker'ları NATO e -postalarını çalmak için Zimbra Kusurdan İstismar
Rusya’nın Rostec'in Telegram kullanıcılarını anonimleştirebileceği iddia ediliyor
Microsoft, Outlook Zero Day Sömürü algılamaya ilişkin ipuçlarını paylaşıyor
Kaynak: Bleeping Computer