Piratas de computadores russos comprometem e -mails da embaixada para atacar governos

Os analistas de segurança descobriram um campo recente de phishing de piratas informáticos russos conhecidos como PT29 (Cozy Bear ou Nobelium) dirigidos a diplomatas e entidades governamentais

O APT29 é um ator patrocinado pelo estado que se concentra na ciberespionagem e tem estado ativo desde pelo menos 2014. Seu alcance de orientação é determinado por seus interesses estratégicos geopolíticos russos atuais.

En nueva campa, desenvolvida por analistas de amenazas de amenazas, APT29 se dirige a diplomticos y varias agencias gubernamentales a travs de mltiples campaas de phishing.

As mensagens importantes pretendem llevar atualizações de políticas e se originam em direções de correio eletrônico legítimo que pertenecen a embajadas.

Correo eletrnico de phishing enviado una cuenta desde (Mandiante)

Outro aspecto notável nesta campanha é o abuso de Atlassian Trello e outras plataformas legítimas de serviços no nube para a comunicação de comando e controle (C2).

índice de conteúdo

  1. Detalhes da campanha de phishing
  2. Cada de malware
  3. Movimento lateral

Detalhes da campanha de phishing

A campanha de spear-phishing começa em janeiro de 2022 e continua em março de 2022 em variações oleadas que giram em vários temas e se baseiam em múltiplas direções de remitentes.

Cronologa de la campaa de phishing (Mandiante)

Em todos os casos, os correos eletrnicos de phishing se originaram em una direccin de correo eletrnico a un diplomtico, por lo que los destinatrios de phishing confiam em ms una direccin de correo eletrnica a acertada un diplomtico, por lo que los destinatrios de phishing confiam em ms una direccin de correo eletrnico que pertenece un diplomtico, por lo que los destinatrios de phishing confian ms s n una direccin de correo eletrnico a dplomtico, por lo que los destinatrios de phishing confian ms s er una direccin de correo eletrnico a un diplomtico, por lo que los destinatrios de phishing confian ms s er una direccin de correo eletrnico de estat.

Mandiant descubri que las direcciones entregues foram inicialmente aparecan como pontos de contato nos sites de las embajadas.

O correo elétrico utiliza a técnica de contrabando de HTML para entregar um arquivo IMG ou ISO ao destino, uma técnica que APT29 tem utilizado veces no passado com gran xito, incluso nos ataques da SolarWinds.

O arquivo ISO contém um arquivo de acesso direto do Windows (LNK) que executa um arquivo DLL malicioso incrustado ao fazer o clique.

Para engaar a la vctima para que haga clic, o arquivo LNK pretende ser um arquivo de documento com a extensão real oculta y un cono falso.

Cada de malware

A execução de DLL como resultado da entrega do download do BEATDROP, que é executada na memória despus de criar um subprocesso suspenso para inyectarse e conectar ao Trello para a comunicação C2.

Trello se usa ampliamente em ambientes corporativos, por lo que é provável que o uso de sua API para o tráfico de vermelho malicioso genere seales crticas de los productos de seguridad.

Nos esfuerzos posteriores, APT29 reemplaz BEATDROP com um novo carregador C ++ BEACON baseado em Cobalt Strike que apresenta capacidades de nível superior.

Estas capacidades incluem registro de teclas, captura de pantalla, modo de proxy do servidor, exfiltracin de credenciais de conta, enumeracin y escaneo de puertos.

Ambos os carregadores implementam BOOMIC, que Microsoft rastrea como VaporRage, descoberto e analisado em maio de 2021. Em muitos casos, BOOMIC se carrega lateralmente apenas alguns minutos depois de implementar o carregador.

BOOMIC estabeleça a persistência modificando o registro do Windows e o download de várias cargas de blocos de shellcode ofuscadas e a execução na memória.

Mandiant observa vários sites comprometidos legítimos que funcionam como C2 de BOOMIC, para evitar problemas de bloqueio de URL.

Flujo de despliegue de malware de APT29 (Mandiante)

Movimento lateral

Despus de establecer uma presença em um entorno, APT29 aumenta os privilégios em menos de 12 horas, usando vários métodos, como escrever arquivos que contêm vales de Kerberos.

Luego, realizou um amplo reconhecimento de pontos vermelhos para identificar os pontos de pivô e arrebatar contraseas ms, aplicar e sistemas, finalmente, se mue mesmo lateralmente com balizas Cobalt Strike e luego BOOMIC em adyacentes.

A lista de SharedReality.dll é identificada como uma legenda de memória individual escrita em idioma Vá que descifra e execute uma carga até o BEACON incrustado. A carga até o BEACON se identifica como SMB BEACON que se comunica com as passagens de SharedReality.dll Named Pipe, dice Mandiant.

Tente observar o APT29 usando a suplantacina de um usuário privilegiado para copiar SharedReality.dll no diretório Temp de mltiples sistemas. Luego, o grupo lo implementa mediante uma tarea programada denominada SharedRealitySvcDLC, que se instala e ejecut. Despus de ejecutar la tarea programada, la tarea se elimin imediatamente "- Mandiant

Independentemente do seguimento persistente e restrito de APT29 por parte de equipamentos de inteligência de amenazas competentes, o grupo segue siguendo uma amenaza de espionaje de alto nível para objetivos de alto inters.

  • WhatsApp Web: Qu es, cmo se utiliza y trucos 2022
  • Cmo usar um disco de inicialização antivírus ou uma unidade USB para garantir que seu computador está limpo

Descobre ms contenido

Que é um amplificador integrado?

Google Pixel Watch também tem detecção de cadas, pero no hasta el prximo ao

Las melhores tazas de caf calentadas de 2022

Cmo automatize seu iPhone segn el tiempo, la actividad ou la ubicacin

"Eso debe haber sido antes de mi tiempo"

Por qu la NASA enva a Snoopy a la Luna? – Revisando geek

Ir arriba