Служба військової контррозвідки Польщі та її Команда реагування на комп’ютерні надзвичайні ситуації пов’язали спонсорованих державою хакерів APT29, що є частиною Служби зовнішньої розвідки (SVR) російського уряду, до широкомасштабних атак, націлених на країни НАТО та Європейського Союзу.
У рамках цієї кампанії група кібершпигунства (також відстежувана як Cosy Bear і Nobelium) мала на меті збирати інформацію від дипломатичних установ і міністерств закордонних справ.
«На момент публікації звіту кампанія все ще триває і знаходиться в стадії розробки», — попереджається в опублікованому сьогодні повідомленні.
«Служба військової контррозвідки та CERT.PL рекомендують усім суб’єктам, які можуть перебувати в зоні інтересів суб’єкта, запровадити механізми, спрямовані на покращення безпеки використовуваних систем безпеки ІТ та збільшення виявлення атак».
Зловмисники атакували дипломатичний персонал, використовуючи фішингові електронні листи, які видавали себе за посольства європейських країн із посиланнями на шкідливі веб-сайти або вкладеннями, призначеними для розгортання шкідливого програмного забезпечення через файли ISO, IMG та ZIP.
Веб-сайти, контрольовані APT29, інфікували жертв за допомогою дроппера EnvyScout через контрабанду HTML, що допомогло розгорнути завантажувачі, відомі як SNOWYAMBER і QUARTERRIG і призначені для доставки додаткових шкідливих програм, а також програму CobaltStrike Beacon під назвою HALFRIG.
SNOWYAMBER і QUARTERRIG використовувалися для розвідки, щоб допомогти зловмисникам оцінити релевантність кожної цілі та визначити, чи вони скомпрометували приманки чи віртуальні машини, які використовуються для аналізу зловмисного програмного забезпечення.
«Якщо інфікована робоча станція проходила перевірку вручну, вищезгадані завантажувачі використовувалися для доставки та запуску комерційних інструментів COBALT STRIKE або BRUTE RATEL», — йдеться в опублікованому сьогодні окремому звіті про аналіз шкідливих програм.
«HALFRIG, з іншого боку, працює як так званий завантажувач – він містить корисне навантаження COBALT STRIKE і запускає його автоматично».
APT29 — хакерський підрозділ Служби зовнішньої розвідки Росії (SVR), який також був пов’язаний з атакою на ланцюжок поставок SolarWinds, що призвело до компрометації кількох федеральних агентств США три роки тому.
Відтоді хакерська група зламала мережі інших організацій за допомогою прихованого зловмисного програмного забезпечення, яке роками залишалося непоміченим, включаючи нове зловмисне програмне забезпечення, відстежене як TrailBlazer, і варіант бекдора GoldMax Linux.
Підрозділ 42 також спостерігав, як інструмент симуляції змагальної атаки Brute Ratel використовувався в атаках, які ймовірно пов’язані з російськими кібершпигунами SVR.
Нещодавно корпорація Майкрософт повідомила, що хакери APT29 використовують нове шкідливе програмне забезпечення, здатне захоплювати служби об’єднання Active Directory (ADFS) для входу будь-кого в системи Windows.
Вони також атакували облікові записи Microsoft 365 у країнах НАТО, намагаючись отримати доступ до зовнішньополітичної інформації, і організували хвилю фішингових кампаній, націлених на уряди, посольства та високопосадовців по всій Європі.
Російські хакери пов’язані з широкомасштабними атаками на НАТО та ЄС
