Er is waargenomen dat een aan Rusland verbonden dreigingsactor zich richt op een Europese financiële instelling als onderdeel van een social engineering-aanval om het verzamelen van inlichtingen of financiële diefstal waarschijnlijk te vergemakkelijken.
De activiteit, die gericht was tegen een niet bij naam genoemde entiteit die betrokken is bij regionale ontwikkelings- en wederopbouwinitiatieven, wordt toegeschreven aan een cybercriminaliteitsgroep die wordt gevolgd als UAC-0050 (ook bekend als DaVinci Group). BlueVoyant heeft de naam Mercenary Akula aan het dreigingscluster toegekend. De aanval werd eerder deze maand waargenomen.
“De aanval vervalste een Oekraïens gerechtelijk domein om een e-mail af te leveren met een link naar een payload voor externe toegang”, aldus onderzoekers Patrick McHale en Joshua Green in een rapport gedeeld met The Hacker News. “Het doelwit was een senior juridisch en beleidsadviseur die betrokken was bij aanbestedingen, een rol met een bevoorrecht inzicht in institutionele activiteiten en financiële mechanismen.”
Het startpunt is een spearphishing-e-mail waarin juridische thema’s worden gebruikt om ontvangers opdracht te geven een archiefbestand te downloaden dat wordt gehost op PixelDrain, een service voor het delen van bestanden die door de bedreigingsacteur wordt gebruikt om op reputatie gebaseerde beveiligingscontroles te omzeilen.
De ZIP is verantwoordelijk voor het initiëren van een meerlaagse infectieketen. In het ZIP-bestand bevindt zich een RAR-archief dat een met een wachtwoord beveiligd 7-Zip-bestand bevat, dat een uitvoerbaar bestand bevat dat zich voordoet als een PDF-document door gebruik te maken van de veel misbruikte truc met dubbele extensie (*.pdf.exe).
De uitvoering resulteert in de implementatie van een MSI-installatieprogramma voor Remote Manipulator System (RMS), een Russische externe desktopsoftware die bediening op afstand, bureaublad delen en bestandsoverdracht mogelijk maakt.
“Het gebruik van dergelijke ‘leven-van-het-land’-tools biedt aanvallers aanhoudende, heimelijke toegang terwijl ze vaak de traditionele antivirusdetectie omzeilen”, aldus de onderzoekers.
Het gebruik van RMS komt overeen met eerdere UAC-0050-modus operandi, waarbij de bedreigingsactor erom bekend staat legitieme software voor externe toegang zoals LiteManager en trojans voor externe toegang zoals RemcosRAT te laten vallen bij aanvallen gericht op Oekraïne.
Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft UAC-0050 gekarakteriseerd als een huurlingengroep die banden heeft met Russische wetshandhavingsinstanties en die onder de merknaam Fire Cells gegevensverzameling, financiële diefstal en informatie- en psychologische operaties uitvoert.
“Deze aanval weerspiegelt het gevestigde en repetitieve aanvalsprofiel van Mercenary Akula, maar biedt ook een opmerkelijke ontwikkeling”, aldus BlueVoyant. “Ten eerste was hun doelwit vooral gericht op in Oekraïne gevestigde entiteiten, met name accountants en financiële functionarissen. Dit incident suggereert echter een mogelijk onderzoek naar instellingen die Oekraïne ondersteunen in West-Europa.”
De onthulling komt op het moment dat Oekraïne onthulde dat Russische cyberaanvallen gericht op de energie-infrastructuur van het land steeds meer gericht zijn op het verzamelen van inlichtingen om raketaanvallen te begeleiden in plaats van het onmiddellijk verstoren van operaties, meldde The Record.
Cyberbeveiligingsbedrijf CrowdStrike zei in zijn jaarlijkse Global Threat Report dat het verwacht dat tegenstanders van de Russische nexus agressieve operaties zullen blijven uitvoeren met als doel het verzamelen van inlichtingen over Oekraïense doelen en NAVO-lidstaten.
Dit omvat inspanningen van APT29 (ook bekend als Cosy Bear en Midnight Blizzard) om “systematisch” vertrouwen, organisatorische geloofwaardigheid en platformlegitimiteit te exploiteren als onderdeel van spearphishing-campagnes gericht op in de VS gevestigde niet-gouvernementele organisaties (NGO’s) en een in de VS gevestigde juridische entiteit om ongeoorloofde toegang te verkrijgen tot de Microsoft-accounts van de slachtoffers.
“Cozy Bear heeft met succes individuen gecompromitteerd of zich voorgedaan met wie de beoogde gebruikers een vertrouwensrelatie onderhielden”, aldus CrowdStrike. “Nagebootste personen waren onder meer werknemers van internationale NGO-afdelingen en pro-Oekraïense organisaties.”
“De tegenstander heeft zwaar geïnvesteerd in het onderbouwen van deze nabootsingen, waarbij hij de legitieme e-mailaccounts van gecompromitteerde personen en communicatiekanalen gebruikt om de authenticiteit te versterken.”
