Dreigingsactoren met vermoedelijke banden met Rusland zijn geobserveerd om te profiteren van een Google -accountfunctie genaamd applicatiespecifieke wachtwoorden (of app -wachtwoorden) als onderdeel van een nieuwe social engineering -tactiek die is ontworpen om toegang te krijgen tot e -mails van slachtoffers.
Details van de zeer gerichte campagne werden bekendgemaakt door Google Threat Intelligence Group (GTIG) en het Citizen Lab, waarin staat dat de activiteit het Amerikaanse ministerie van Buitenlandse Zaken beoogt.
“Vanaf ten minste april tot begin juni 2025 richtte deze acteur zich op prominente academici en critici van Rusland, vaak met behulp van uitgebreide rapportgebouw en op maat gemaakte kunstaas om het doel te overtuigen om applicatiespecifieke wachtwoorden (ASPS) op te zetten, zei GTIG -onderzoekers Gabby Roncone en Wesley Shields.
“Zodra het doelwit de ASP -passcode deelt, vestigen de aanvallers aanhoudende toegang tot de mailbox van het slachtoffer.”
De activiteit is door Google toegeschreven aan een dreigingscluster dat het volgt als UNC6293, waarvan het zegt dat het waarschijnlijk is aangesloten bij de door de Russische door de staat gesponsorde hackgroep genaamd APT29 (aka Bluebravo, Cloaked Ursa, Cozylarch, Cozy Bear, IceCap, Midnight Blizard en de Dukes).
De sociale engineering ontvouwt zich gedurende een periode van enkele weken om een verstandhouding met doelen vast te stellen, in plaats van een gevoel van druk of urgentie te veroorzaken die anders verdenkelijk heeft geleid.
Dit omvat het verzenden van goedaardige phishing -e -mails vermomd als ontmoeting uitnodigingen met niet minder dan vier verschillende fictieve adressen met het e -mailadres “@state.gov” in de CC -lijn om het een fineer van geloofwaardigheid te geven.
“Een doelwit kan redeneren:” Als dit niet legitiem is, zou een van deze werknemers van het ministerie van Buitenlandse Zaken zeker iets zeggen, vooral als ik antwoord en ze op de CC -lijn bewaar “, zei het Citizen Lab.
“Wij zijn van mening dat de aanvaller zich ervan bewust is dat de e -mailserver van het ministerie van Buitenlandse Zaken blijkbaar is geconfigureerd om alle berichten te accepteren en geen ‘bounce’ -reactie uitzendt, zelfs niet wanneer het adres niet bestaat.”
Dit geeft aan dat deze aanvallen zorgvuldig worden gepland en uitgevoerd om slachtoffers te misleiden om afscheid te nemen van een 16-cijferige toegangscode die de tegenstander toestemming geeft om toegang te krijgen tot hun mailbox onder het voorwendsel om “veilige communicatie tussen interne werknemers en externe partners” mogelijk te maken.
Google beschrijft deze app-wachtwoorden als een manier voor een minder beveiligde app of apparaat, de mogelijkheid om toegang te krijgen tot het Google-account van een gebruiker met tweefactor-authenticatie (2FA) ingeschakeld.
“Wanneer u tweestaps verificatie gebruikt, kunnen sommige minder veilige apps of apparaten worden geblokkeerd door toegang te krijgen tot uw Google-account,” volgens het bedrijf. “App -wachtwoorden zijn een manier om de geblokkeerde app of apparaat toegang te krijgen tot uw Google -account.”
De eerste berichten zijn ontworpen om een reactie van het doel op te wekken om een vergadering in te stellen, waarna ze een PDF -document hebben verzonden met een reeks stappen om een app -wachtwoord te maken om veilig toegang te krijgen tot een nepafdeling van de staat Cloud -omgeving en de code met hen te delen.
“De aanvallers hebben vervolgens een e -mailclient ingesteld om de ASP te gebruiken, waarschijnlijk met het einddoel van toegang tot en lezen van de e -mailcorrespondentie van het slachtoffer,” zei Gtig. “Met deze methode kunnen de aanvallers ook aanhoudende toegang hebben tot accounts.”
Google zei dat het een tweede campagne heeft waargenomen met Oekraïense thema’s, en dat de aanvallers zich aanmelden bij slachtofferaccounts, voornamelijk met behulp van residentiële proxy’s en VPS -servers om detectie te ontwijken. Het bedrijf zei dat het sindsdien stappen heeft gezet om de rekeningen te beveiligen die door de campagnes worden gecompromitteerd.
De banden van UNC6293 met APT29 komen voort uit een reeks vergelijkbare social engineering -aanvallen die nieuwe technieken hebben gebruikt, zoals apparaatcode phishing en apparaataansluiting phishing om sinds het begin van het jaar ongeautoriseerde toegang tot Microsoft 365 -accounts te krijgen.
Device Join Phishing is vooral opmerkelijk voor het feit dat het slachtoffers misleidt om naar de aanvallers een door Microsoft gegenereerde oAuth-code terug te sturen om hun accounts te kapen.
“Sinds april 2025 heeft Microsoft vermoedelijke Russisch gekoppelde dreigingsactoren waargenomen met behulp van applicatieberichten van derden of e-mails die verwijzen naar aankomende vergaderuitnodigingen om een kwaadaardige link te leveren met een geldige autorisatiecode,” onthulde Microsoft vorige maand.
“Wanneer geklikt, retourneert de link een token voor de apparaatregistratieservice, waardoor het apparaat van de dreigingsacteur de huurder kan registreren.”
