De Russische natiestaat-dreigingsacteur, bekend als APT28 Er is waargenomen dat gebruik werd gemaakt van kunstaas dat verband hield met de aanhoudende oorlog tussen Israël en Hamas om de levering van een op maat gemaakte achterdeur genaamd HeadLace te vergemakkelijken.
IBM X-Force volgt de tegenstander onder de naam ITG05, ook bekend als BlueDelta, Fancy Bear, Forest Blizzard (voorheen Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy en TA422.
“De nieuw ontdekte campagne is gericht tegen doelen in ten minste dertien landen over de hele wereld en maakt gebruik van authentieke documenten die zijn gemaakt door academische, financiële en diplomatieke centra”, aldus veiligheidsonderzoekers Golo Mühr, Claire Zaboeva en Joe Fasulo.
“De infrastructuur van ITG05 zorgt ervoor dat alleen doelwitten uit één specifiek land de malware kunnen ontvangen, wat het zeer gerichte karakter van de campagne aangeeft.”
Doelstellingen van de campagne zijn onder meer Hongarije, Turkije, Australië, Polen, België, Oekraïne, Duitsland, Azerbeidzjan, Saoedi-Arabië, Kazachstan, Italië, Letland en Roemenië.
Bij de campagne wordt gebruik gemaakt van lokmiddelen die in de eerste plaats bedoeld zijn om Europese entiteiten met een “directe invloed op de toewijzing van humanitaire hulp” te onderscheiden, waarbij gebruik wordt gemaakt van documenten die verband houden met de Verenigde Naties, de Bank of Israel, de US Congressional Research Service, de Europese Het parlement, een Oekraïense denktank en een intergouvernementele commissie tussen Azerbeidzjan en Wit-Rusland.
Bij sommige aanvallen is gebleken dat RAR-archieven worden gebruikt, waarbij gebruik wordt gemaakt van de WinRAR-fout genaamd CVE-2023-38831 om HeadLace te verspreiden, een achterdeur die voor het eerst werd onthuld door het Computer Emergency Response Team of Ukraine (CERT-UA) bij aanvallen gericht op kritieke infrastructuur. in het land.
Het is vermeldenswaard dat Zscaler eind september 2023 een soortgelijke campagne onthulde, genaamd Steal-It, die doelen verleidde met inhoud met een volwassen thema om hen te misleiden om afstand te doen van gevoelige informatie.
De onthulling komt een week nadat Microsoft, Palo Alto Networks Unit 42 en Proofpoint de uitbuiting door de bedreigingsacteur van een kritieke beveiligingsfout in Microsoft Outlook (CVE-2023-23397, CVSS-score: 9,8) gedetailleerd hebben beschreven om ongeoorloofde toegang te verkrijgen tot de accounts van slachtoffers binnen het netwerk. Exchange-servers.
Het vertrouwen op officiële documenten als lokmiddel markeert daarom een afwijking van eerder waargenomen activiteiten, “een indicatie van de toegenomen nadruk van ITG05 op een unieke doelgroep wier interesses zouden aanzetten tot interactie met materiaal dat van invloed is op de ontwikkeling van opkomend beleid.”
“Het is zeer waarschijnlijk dat het compromis van welk echelon van mondiale centra voor buitenlands beleid dan ook de belangen van ambtenaren kan helpen met geavanceerd inzicht in de kritische dynamiek rond de aanpak van de Internationale Gemeenschap (IC) ten aanzien van concurrerende prioriteiten voor veiligheid en humanitaire hulp”, aldus de onderzoekers.
De ontwikkeling komt op het moment dat CERT-UA de dreigingsactor die bekend staat als UAC-0050 koppelde aan een enorme, op e-mail gebaseerde phishing-aanval op Oekraïne en Polen met behulp van Remcos RAT en Meduza Stealer.
