Руската държавно спонсорирана хакерска група „APT29“ (известна още като Nobelium, Cloaked Ursa) използва нетрадиционни примамки като обяви за коли, за да подмами дипломати в Украйна да кликнат върху зловредни връзки, които доставят зловреден софтуер.

APT29 е свързана със Службата за външно разузнаване (СВР) на руското правителство и е отговорна за многобройни кампании за кибершпионаж, насочени към високопоставени лица по целия свят.

През последните две години руските хакери се фокусираха върху цели от НАТО, ЕС и Украйна, като използваха фишинг имейли и документи с външнополитическа тематика, както и фалшиви уебсайтове, за да заразят целите си със скрити задни врати.

В доклад, публикуван днес от екипа на Palo Alto Network Unit 42, се обяснява, че APT29 е развила тактиката си за фишинг, като използва примамки, които са по-лични за получателя на фишинг имейла.

Луксозни автомобили в Киев

В една от последните операции на APT29, забелязани от Unit 42, която започва през май 2023 г., участниците в заплахата използват реклама на автомобил BMW, за да се насочат към дипломати в столицата на Украйна, Киев.

Листовката за продажба е изпратена до имейл адресите на дипломатите, имитирайки легитимна продажба на автомобил, разпространена две седмици преди това от полски дипломат, който се подготвя да напусне Украйна.

Когато получателите кликнат върху връзката „още висококачествени снимки“, вградена в злонамерения документ, те се пренасочват към HTML страница, която доставя злонамерен полезен товар от ISO файлове чрез контрабанда на HTML.

Контрабандата на HTML е техника, използвана във фишинг кампаниите, при които се използват HTML5 и JavaScript, за да се скрият зловредни полезни товари в кодирани низове в HTML прикачен файл или уебстраница. След това тези низове се декодират от браузъра, когато потребителят отвори прикачения файл или кликне върху връзка.

Използването на тази техника помага за избягване на софтуера за сигурност, тъй като зловредният код е замаскиран и се декодира само при визуализиране в браузъра.

ISO файлът съдържа нещо, което изглежда като девет PNG изображения, но в действителност са LNK файлове, които задействат веригата на заразяване, показана на схемата по-долу.

Когато жертвата отвори някой от LNK файловете, представящи се за PNG изображения, тя стартира легитимен изпълним файл, който използва странично зареждане на DLL, за да инжектира shellcode в паметта на текущия процес.

Unit 42 съобщава, че тази кампания е била насочена към поне 22 от 80-те чуждестранни мисии в Киев, включително тези на САЩ, Канада, Турция, Испания, Нидерландия, Гърция, Естония и Дания. Процентът на заразяване обаче остава неизвестен.

Около 80% от имейл адресите, които са получили злонамерената листовка, са били публично достъпни онлайн, а APT29 трябва да е набавила останалите 20% чрез компрометиране на акаунти и събиране на разузнавателна информация.

Друг скорошен пример за готовността на APT29 да използва реални инциденти за фишинг е PDF файл, изпратен до турското Министерство на външните работи (МВнР) в началото на 2023 г., насочващ към хуманитарна помощ за земетресението, което засегна Южна Турция през февруари.

Unit 42 коментира, че зловредният PDF вероятно е бил споделен сред служителите на МВнР и препратен на други турски организации, тъй като атаката се е възползвала от отличното време.

Тъй като конфликтът в Украйна продължава, а развитието на събитията в рамките на НАТО заплашва да промени геополитическия пейзаж, се очаква руските групи за кибершпионаж да продължат и дори да увеличат усилията си да атакуват дипломатически мисии.