Gli attori della minaccia informatica russa sono stati attribuito a una campagna sponsorizzata dallo stato rivolta alle entità della logistica occidentale e alle società tecnologiche dal 2022.
L’attività è stata valutata per essere orchestrata da APT28 (aka Bluedelta, Fancy Bear o Forest Blizzard), che è collegato alla direzione di intelligence principale del personale generale russo (GRU) 85 ° Centro di servizio speciale principale, unità militare 26165.
Gli obiettivi della campagna comprendono le società coinvolte nel coordinamento, nei trasporti e nella consegna dell’assistenza straniera all’Ucraina, secondo una consulenza congiunta pubblicata da agenzie provenienti da Australia, Canada, Cechia, Danimarca, Estonia, Francia, Germania, Paesi Bassi, Polonia, Regno Unito e Stati Uniti.
“Questa campagna orientata allo spionaggio informatico mirato alle entità logistiche e alle società tecnologiche utilizza un combine di TTP precedentemente divulgati ed è probabilmente collegata al concentrating on su larga scala di questi attori delle telecamere IP in Ucraina e nazioni al confine della NATO”, il Bollettino disse.
L’allerta arriva settimane dopo il ministero degli esteri francesi accusato APT28 di crescenti attacchi informatici a una dozzina di entità tra cui ministeri, società di difesa, entità di ricerca e assume tank dal 2021 nel tentativo di destabilizzare la nazione.
Poi la scorsa settimana, ESET ha tolto una campagna soprannominata Operation RoundPress Ciò ha detto che è in corso dal 2023 sfruttando le vulnerabilità di script siti (XSS) in vari servizi di webmail come Roundcube, Horde, Mdaemon e Zimbra per individuare entità governative e società di difesa nell’Europa orientale, nonché governi in Africa, Europa e Sud America.
Secondo l’ultimo consulenza, si cube che gli attacchi informatici orchestrati da APT28 abbiano coinvolto una combinazione di spruzzatura password, phishing di lance e modifica delle autorizzazioni di cassette postali di Microsoft Change per scopi di spionaggio.
Gli obiettivi principali della campagna includono organizzazioni all’interno degli Stati membri della NATO e Ucraina che attraversano la difesa, i trasporti, la marittima, la gestione del traffico aereo e i servizi IT verticali. Non meno di dozzine di entità in Bulgaria, Cechia, Francia, Germania, Grecia, Italia, Moldavia, Paesi Bassi, Polonia, Romania, Slovacchia, Ucraina e Stati Uniti sono stati presi di mira.
“Questa campagna dannosa del servizio di intelligence militare russa presenta un grave rischio per le organizzazioni mirate, comprese quelle coinvolte nella consegna dell’assistenza all’Ucraina”, Paul Chichester, direttore delle operazioni del Nationwide Cyber Safety Middle (NCSC) disse. “Il Regno Unito e i associate si impegnano a sensibilizzare le tattiche distribuite”.
Si cube che l’accesso iniziale alle reti mirate sia stato facilitato sfruttando sette metodi diversi –
- Attacchi di forza bruta per indovinare le credenziali
- Attacchi di spear-phishing alle credenziali di raccolta utilizzando pagine di accesso false che impersonano le agenzie governative e i fornitori di e-mail cloud occidentali ospitati su servizi gratuiti di terze parti o dispositivi SOHO compromessi
- Attacchi di phishing della lancia per consegnare malware
- Sfruttamento della vulnerabilità NTLM di Outlook (CVE-2023-23397)
- Sfruttamento delle vulnerabilità di Roundcube (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- Sfruttamento di infrastrutture rivolte a Web come VPN aziendali che utilizzano vulnerabilità pubbliche e iniezione SQL
- Sfruttamento della vulnerabilità di Winrar (CVE-2023-38831)
Una volta che gli attori dell’unità 26165 ottengono punto d’appoggio utilizzando uno dei metodi di cui sopra, gli attacchi procedono alla fase post-sfruttamento, che prevede la conduzione di ricognizioni per identificare obiettivi aggiuntivi in posizioni chiave, individui responsabili del coordinamento dei trasporti e altre società che si sono collaborate con l’entità delle vittime.
Gli aggressori sono stati anche osservati utilizzando strumenti come l’impacket, PSEXEC e il protocollo desktop remoto (RDP) per il movimento laterale, nonché CERIPY e ADExplorer.exe per esfiltrarsi da Energetic Listing.
“Gli attori prendono provvedimenti per individuare ed esfiltrati elenchi degli utenti di Workplace 365 e impostare una raccolta di e -mail sostenuta”, hanno sottolineato le agenzie. “Gli attori hanno usato manipolazione delle autorizzazioni della cassetta postale Per stabilire una raccolta di e -mail prolungata presso entità logistiche compromesse “.
Un altro tratto notevole delle intrusioni è l’uso di famiglie di malware come Headlace e Masepenper stabilire la persistenza su ospiti compromessi e raccogliere informazioni sensibili. Non ci sono show che le varianti di malware piacciano Oceanmap e Steelhook sono stati utilizzati per indirizzare direttamente la logistica o i settori IT.
Durante l’esfiltrazione dei dati, gli attori delle minacce hanno fatto affidamento su diversi metodi in base all’ambiente delle vittime, utilizzando spesso i comandi PowerShell per creare archivi Zip per caricare i dati raccolti nella propria infrastruttura o impiegare Change Internet Providers (EWS) e il protocollo di accesso ai messaggi Web (IMAP) per il sorsetico delle informazioni di e -mail.
“Poiché le forze militari russe non hanno raggiunto i loro obiettivi militari e i paesi occidentali hanno fornito aiuti per sostenere la difesa territoriale dell’Ucraina, l’Unità 26165 ha ampliato il suo concentrating on per le entità logistiche e le società tecnologiche coinvolte nella consegna di aiuti”, hanno affermato le agenzie. “Questi attori hanno anche preso di mira le telecamere connesse a Web negli incroci di frontiera ucraina per monitorare e tenere traccia delle spedizioni di aiuti.”
