Aktor ancaman dunia maya Rusia telah dikaitkan dengan kampanye yang disponsori negara yang menargetkan entitas logistik barat dan perusahaan teknologi sejak 2022.
Kegiatan ini telah dinilai diatur oleh APT28 (alias Bluedelta, Fancy Bear, atau Forest Blizzard), yang terkait dengan Staf Umum Rusia Direktorat Intelijen Utama (GRU) Pusat Layanan Khusus Utama ke -85, Unit Militer 26165.
Target kampanye termasuk perusahaan yang terlibat dalam koordinasi, transportasi, dan pengiriman bantuan asing ke Ukraina, menurut penasihat bersama yang dikeluarkan oleh lembaga dari Australia, Kanada, Ceko, Denmark, Estonia, Prancis, Jerman, Belanda, Polandia, Inggris, dan Amerika Serikat.
“Kampanye yang berorientasi spionase cyber ini menargetkan entitas logistik dan perusahaan teknologi menggunakan campuran TTP yang sebelumnya diungkapkan dan kemungkinan terhubung dengan penargetan luas kamera IP di Ukraina dan berbatasan dengan negara-negara NATO,” kata buletin itu.
Peringatan itu datang berminggu -minggu setelah kementerian luar negeri Prancis menuduh APT28 melakukan serangan dunia maya terhadap selusin entitas termasuk kementerian, perusahaan pertahanan, entitas penelitian, dan lembaga think tank sejak 2021 dalam upaya untuk mengacaukan bangsa.
Kemudian minggu lalu, ESET mengambil wraps dari kampanye yang dijuluki Operasi Roundpress yang dikatakan telah berlangsung sejak 2023 dengan mengeksploitasi kerentanan scripting lintas-situs (XSS) dalam berbagai layanan webmail seperti Roundcube, Horde, Mdaemon, dan Zimbra untuk memilih perusahaan pemerintah dan perusahaan pertahanan di Eropa, juga di Eurgai, dan Pemerintah di Eropa, dan Pemerintah di Eurgai, dan Pemerintah di Eurgai di Eurdaemon, dan Zimbra di Eurdaon.
Menurut penasihat terbaru, serangan cyber yang diatur oleh APT28 dikatakan telah melibatkan kombinasi penyemprotan kata sandi, phishing tombak, dan memodifikasi izin kotak surat Microsoft Exchange untuk tujuan spionase.
Target utama kampanye termasuk organisasi di negara -negara anggota NATO dan Ukraina yang mencakup pertahanan, transportasi, maritim, manajemen lalu lintas udara, dan layanan TI vertikal. Tidak kurang dari lusinan entitas di Bulgaria, Ceko, Prancis, Jerman, Yunani, Italia, Moldova, Belanda, Polandia, Rumania, Slovakia, Ukraina, dan Amerika Serikat diperkirakan telah ditargetkan.
Akses awal ke jaringan yang ditargetkan dikatakan telah difasilitasi dengan memanfaatkan tujuh metode yang berbeda –
- Serangan brute-force untuk menebak kredensial
- Serangan phishing tombak untuk memanen kredensial menggunakan halaman login palsu menyamar sebagai lembaga pemerintah dan penyedia email cloud barat yang di-host pada layanan pihak ketiga gratis atau perangkat SOHO yang dikompromikan
- Serangan phishing tombak untuk memberikan malware
- Eksploitasi Outlook NTLM Kerentanan (CVE-2023-23397)
- Eksploitasi Kerentanan RoundCube (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- Eksploitasi infrastruktur yang menghadap internet seperti VPN perusahaan menggunakan kerentanan publik dan injeksi SQL
- Eksploitasi Kerentanan Winrar (CVE-2023-38831)
Setelah unit 26165 aktor mendapatkan pijakan menggunakan salah satu metode di atas, serangan melanjutkan ke fase pasca-eksploitasi, yang melibatkan melakukan pengintaian untuk mengidentifikasi target tambahan di posisi utama, individu yang bertanggung jawab untuk mengoordinasikan transportasi, dan perusahaan lain yang bekerja sama dengan entitas korban.
Para penyerang juga telah diamati menggunakan alat -alat seperti Impacket, Psexec, dan Remote Desktop Protocol (RDP) untuk pergerakan lateral, serta Certipy dan Adexplorer.exe untuk mengekspiltrat informasi dari Direktori Aktif.
“Para aktor akan mengambil langkah -langkah untuk menemukan dan mengekspil daftar pengguna Office 365 dan mengatur pengumpulan email yang berkelanjutan,” kata agensi tersebut. “Para aktor menggunakan manipulasi izin kotak surat untuk membuat pengumpulan email berkelanjutan di entitas logistik yang dikompromikan.”
Ciri penting lainnya dari intrusi adalah penggunaan keluarga malware seperti headlace dan masepie, untuk membangun kegigihan pada host yang dikompromikan dan memanen informasi sensitif. Tidak ada bukti bahwa varian malware seperti Oceanmap dan Steelhook telah digunakan untuk secara langsung menargetkan logistik atau sektor TI.
Selama exfiltrasi data, para aktor ancaman telah mengandalkan metode yang berbeda berdasarkan lingkungan korban, sering kali menggunakan perintah PowerShell untuk membuat arsip ZIP untuk mengunggah data yang dikumpulkan ke infrastruktur mereka sendiri, atau menggunakan layanan web pertukaran (EW) dan protokol akses pesan internet (IMAP) untuk memicu informasi dari server email.
“Karena pasukan militer Rusia gagal memenuhi tujuan militer mereka dan negara -negara Barat memberikan bantuan untuk mendukung pertahanan teritorial Ukraina, Unit 26165 memperluas penargetan entitas logistik dan perusahaan teknologi yang terlibat dalam penyampaian bantuan,” kata lembaga tersebut. “Aktor-aktor ini juga menargetkan kamera yang terhubung dengan internet di penyeberangan perbatasan Ukraina untuk memantau dan melacak pengiriman bantuan.”
Pengungkapan itu datang ketika jaringan Cato mengungkapkan bahwa dugaan aktor ancaman Rusia memanfaatkan penyimpanan objek Tigris, penyimpanan objek Oble Cloud Infrastructure (OCI), dan penyimpanan objek Scaleway untuk meng-host halaman ulang palsu yang memanfaatkan umpan gaya clickfix untuk menipu pengguna agar mengunduh pencuri lumma.
“Kampanye baru -baru ini memanfaatkan penyimpanan objek Tigris, penyimpanan objek OCI, dan penyimpanan objek skaleway dibangun berdasarkan metode sebelumnya, memperkenalkan mekanisme pengiriman baru yang bertujuan menghindari deteksi dan menargetkan pengguna yang mahir secara teknis,” kata para peneliti tipu daya Domingo, Guy Waizel, dan Tomer Agayev.
