АРТ групата, известна като Winter Vivern, е свързана с кампании, насочени към правителствени служители в Индия, Литва, Словакия и Ватикана от 2021 г. насам.

Дейността е била насочена към полски правителствени агенции, Министерството на външните работи на Украйна, Министерството на външните работи на Италия и лица в индийското правителство, съобщи SentinelOne в доклад, споделен с The Hacker News.

„От особен интерес е насочването на APT към частни предприятия, включително телекомуникационни организации, които подкрепят Украйна в продължаващата война“, заяви старши изследователят на заплахи Том Хегел.

Winter Vivern, проследяван и като UAC-0114, привлече вниманието миналия месец, след като Екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) подробно описа нова кампания, насочена към държавните органи на Украйна и Полша, за да достави зловреден софтуер, наречен Aperetif.

Предишни публични доклади, съдържащи хроника на групата, показват, че тя е използвала въоръжени документи на Microsoft Excel, съдържащи макроси XLM, за да разположи импланти на PowerShell на компрометирани хостове.

Въпреки че произходът на субекта на заплахата е неизвестен, моделите на атаки предполагат, че клъстерът е съобразен с цели, които подкрепят интересите на правителствата на Беларус и Русия.

UAC-0114 е използвала разнообразни методи, вариращи от фишинг уебсайтове до злонамерени документи, които са съобразени с целевата организация, за да разпространява своите персонализирани полезни товари и да получава неоторизиран достъп до чувствителни системи.

При една група от атаки, наблюдавани в средата на 2022 г., Winter Vivern създава уебстраници за фишинг на удостоверения, за да примами потребителите на легитимната имейл услуга на индийското правителство email.gov[.]in.

Типичните вериги от атаки включват използване на пакетни скриптове, маскирани като антивирусни скенери, за да се задейства разгръщането на троянския кон Aperetif от контролирана от извършителя инфраструктура, като например компрометирани сайтове на WordPress.

Aperetif, зловреден софтуер, базиран на Visual C++, се предлага с функции за събиране на данни на жертвите, поддържане на достъп до задната врата и извличане на допълнителни полезни товари от сървъра за командване и контрол (C2).

 „Уинтър Вивърн“ е ограничена по отношение на ресурсите, но изключително креативна група, която проявява сдържаност в обхвата на атаките си“, казва Хегел.

„Способността им да привличат цели в атаките и насочването им към правителства и частни предприятия с висока стойност показват нивото на сложност и стратегически намерения в операциите им.“

Макар че Winter Vivern може да е успяла да избегне общественото внимание за продължителни периоди от време, една група, която не се притеснява твърде много да остане под радара, е Nobelium, която има общи припокривания с APT29 (известна още като BlueBravo, Cozy Bear или The Dukes).

Използваните URL адреси, хоствани на легитимен уебсайт на онлайн библиотека, базиран в Ел Салвадор, съдържат примамки, свързани с LegisWrite и eTrustEx, които се използват от държавите от ЕС за сигурен обмен на документи.

Доставеният в кампанията HTML дропър (наречен ROOTSAW или EnvyScout) вгражда ISO имидж, което на свой ред е предназначено да стартира зловредна библиотека за динамични връзки (DLL), която улеснява доставката на следващ етап на зловреден софтуер чрез API на Notion.

Използването на Notion, популярно приложение за водене на бележки, за C2 комуникации беше разкрито по-рано от Recorded Future през януари 2023 г. Струва си да се отбележи, че APT29 е използвала различни онлайн услуги като Dropbox, Google Drive, Firebase и Trello в опит да избегне откриване.

„Nobelium остава изключително активен, като изпълнява множество паралелни кампании, насочени към правителствени организации, неправителствени организации (НПО), междуправителствени организации (МПО) и мозъчни тръстове в САЩ, Европа и Централна Азия“, заяви Microsoft миналия месец.

Констатациите идват и след като фирмата за корпоративна сигурност Proofpoint разкри агресивни кампании по електронна поща, организирани от свързания с Русия участник в заплахи, наречен TA499 (известен още като Lexus и Vovan), от началото на 2021 г., за да подмами целите да участват в записани телефонни разговори или видеочатове и да извлече ценна информация.

„Извършителят се е ангажирал с постоянна дейност и е разширил целеполагането си, като е включил известни бизнесмени и високопоставени лица, които са направили големи дарения за украинските хуманитарни усилия, или такива, които правят публични изявления за руската дезинформация и пропаганда“, заяви компанията.