Russische actoren van cyberdreigingen zijn sinds 2022 toegeschreven aan een door de staat gesponsorde campagne die zich richt op westerse logistieke entiteiten en technologiebedrijven.
De activiteit is beoordeeld als georkestreerd door APT28 (aka Bluedelta, Fancy Bear of Forest Blizzard), die verband houdt met de Russische General Staff Main Intelligence Directorate (GRU) 85e Main Special Service Center, Militaire Unit 26165.
Doelstellingen van de campagne omvatten bedrijven die betrokken zijn bij de coördinatie, transport en levering van buitenlandse hulp aan Oekraïne, volgens een gezamenlijk advies dat door agentschappen uit Australië, Canada, Tsjechië, Denemarken, Estland, Frankrijk, Duitsland, Duitsland, Polen, het Verenigd Koninkrijk en de Verenigde Staten is vrijgegeven.
“Deze cyberspionage-georiënteerde campagnes gericht op logistieke entiteiten en technologiebedrijven gebruikt een mix van eerder bekendgemaakte TTP’s en is waarschijnlijk verbonden met de grootschalige targeting van IP-camera’s van deze actoren in Oekraïne en grenzende NAVO-landen,” zei het Bulletin.
De waarschuwing komt weken nadat het Franse ministerie van Buitenlandse Zaken APT28 beschuldigde van toenemende cyberaanvallen op een dozijn entiteiten, waaronder ministeries, defensiebedrijven, onderzoeksentiteiten en denktanks sinds 2021 in een poging de natie te destabiliseren.
Vorige week haalde Eset de wraps van een campagne genaamd Operation Countress die volgens hem sinds 2023 aan de gang is door te exploiteren door de kwetsbaarheden van cross-site scripting (XSS) te exploiteren in verschillende webmail-diensten zoals Roundcube, Horde, Mdaemon en Zimbra om overheidsentiteiten en defensiebedrijven in Oost-Europa, evenals regeringen in Afrika, Europa en Zuid-Amerika, te selecteren.
Volgens het laatste advies zouden cyberaanvallen georkestreerd door APT28 een combinatie van wachtwoordspuiten, speer-phishing en het wijzigen van Microsoft Exchange Mailbox-machtigingen voor spionagedoeleinden hebben betreffen.
De primaire doelen van de campagne omvatten organisaties binnen de NAVO -lidstaten en Oekraïne die verdediging, transport, maritiem, luchtverkeersbeheer en IT -services verticals zijn. Niet minder dan tientallen entiteiten in Bulgarije, Tsjechië, Frankrijk, Duitsland, Griekenland, Italië, Moldavië, Nederland, Polen, Roemenië, Slowakije, Oekraïne en de Verenigde Staten zijn naar schatting het doelwit te zijn.
De eerste toegang tot gerichte netwerken zou zijn vergemakkelijkt door zeven verschillende methoden te benutten –
- Brute-force aanvallen om referenties te raden
- Speer-phishing-aanvallen om referenties te oogsten met behulp van nep-inlogpagina’s die zich voordoen als overheidsinstanties en westerse cloud-e-mailaanbieders die werden gehost op gratis services van derden of gecompromitteerde SOHO-apparaten
- Speer-phishing-aanvallen om malware te leveren
- Exploitatie van Outlook NTLM-kwetsbaarheid (CVE-2023-23397)
- Exploitatie van roundcube kwetsbaarheden (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- Exploitatie van internetgerichte infrastructuur zoals bedrijfs-VPN’s met behulp van openbare kwetsbaarheden en SQL-injectie
- Exploitatie van WinRar-kwetsbaarheid (CVE-2023-38831)
Zodra de unit 26165 actoren voet aan de grond krijgen met behulp van een van de bovenstaande methoden, gaan de aanvallen door naar de post-exploitatiefase, waarbij verkenning wordt uitgevoerd om extra doelen te identificeren in sleutelposities, personen die verantwoordelijk zijn voor het coördineren van transport en andere bedrijven die samenwerken met de slachtoffer.
De aanvallers zijn ook waargenomen met behulp van tools zoals Impacket, PSExec en Remote Desktop Protocol (RDP) voor laterale beweging, evenals certipy en aDexplorer.exe om informatie uit de Active Directory te exfiltreren.
“De acteurs zouden stappen ondernemen om lijsten van Office 365 -gebruikers te vinden en te exfiltreren en duurzame e -mailcollectie op te zetten,” merkten de agentschappen op. “De actoren gebruikten manipulatie van mailbox -machtigingen om aanhoudende e -mailcollectie op te zetten bij gecompromitteerde logistieke entiteiten.”
Een andere opmerkelijke eigenschap van de intrusies is het gebruik van malwarefamilies zoals kop en masepie, om doorzettingsvermogen te vestigen op gecompromitteerde gastheren en gevoelige informatie te oogsten. Er is geen bewijs dat malwarevarianten zoals OceanMap en Steelhook zijn gebruikt om zich direct te richten op logistiek of IT -sectoren.
Tijdens gegevens -exfiltratie hebben de dreigingsactoren vertrouwd op verschillende methoden op basis van de slachtofferomgeving, waarbij vaak PowerShell -opdrachten worden gebruikt om zip -archieven te maken om de verzamelde gegevens te uploaden naar hun eigen infrastructuur of gebruik te maken van Exchange Web Services (EWS) en internetbericht Access Protocol (IMAP) naar Siphon -informatie van e -mailservers.
“Omdat Russische strijdkrachten hun militaire doelstellingen niet hebben bereikt en westerse landen hulp bieden ter ondersteuning van de territoriale verdediging van Oekraïne, breidde Unit 26165 zijn targeting van logistieke entiteiten en technologiebedrijven uit die betrokken zijn bij de levering van AID,” zeiden de agentschappen. “Deze actoren hebben ook gericht op internet-verbonden camera’s bij Oekraïense grensovergangen om hulpverzendingen te controleren en te volgen.”
De openbaarmaking komt omdat Cato-netwerken onthulden dat vermoedelijke Russische dreigingsactoren gebruik maken van Tigris Object Storage, Oracle Cloud Infrastructure (OCI) Object Storage en Scaleway Object Storage om nep RecaptCha-pagina’s te hosten die gebruik maken van clickfix-stijl loksterse lokken om gebruikers te druppelen om gebruikers te dragen in het downloaden van Lumma Stealer.
“De recente campagne maakt gebruik van Tigris Object Storage, OCI Object Storage en Scaleway Object Storage Builds op eerdere methoden, die nieuwe leveringsmechanismen introduceren die gericht zijn op het ontwijken van detectie en het richten van technisch bekwame gebruikers,” zei onderzoekers Guile Domingo, Guy Waizel en Tomer Agayev.
