Търсене
Close this search box.

АРТ групата, известна като Winter Vivern, е свързана с кампании, насочени към правителствени служители в Индия, Литва, Словакия и Ватикана от 2021 г. насам.

Дейността е била насочена към полски правителствени агенции, Министерството на външните работи на Украйна, Министерството на външните работи на Италия и лица в индийското правителство, съобщи SentinelOne в доклад, споделен с The Hacker News.

„От особен интерес е насочването на APT към частни предприятия, включително телекомуникационни организации, които подкрепят Украйна в продължаващата война“, заяви старши изследователят на заплахи Том Хегел.

Winter Vivern, проследяван и като UAC-0114, привлече вниманието миналия месец, след като Екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) подробно описа нова кампания, насочена към държавните органи на Украйна и Полша, за да достави зловреден софтуер, наречен Aperetif.

Предишни публични доклади, съдържащи хроника на групата, показват, че тя е използвала въоръжени документи на Microsoft Excel, съдържащи макроси XLM, за да разположи импланти на PowerShell на компрометирани хостове.

Въпреки че произходът на субекта на заплахата е неизвестен, моделите на атаки предполагат, че клъстерът е съобразен с цели, които подкрепят интересите на правителствата на Беларус и Русия.

UAC-0114 е използвала разнообразни методи, вариращи от фишинг уебсайтове до злонамерени документи, които са съобразени с целевата организация, за да разпространява своите персонализирани полезни товари и да получава неоторизиран достъп до чувствителни системи.

При една група от атаки, наблюдавани в средата на 2022 г., Winter Vivern създава уебстраници за фишинг на удостоверения, за да примами потребителите на легитимната имейл услуга на индийското правителство email.gov[.]in.

Типичните вериги от атаки включват използване на пакетни скриптове, маскирани като антивирусни скенери, за да се задейства разгръщането на троянския кон Aperetif от контролирана от извършителя инфраструктура, като например компрометирани сайтове на WordPress.

Aperetif, зловреден софтуер, базиран на Visual C++, се предлага с функции за събиране на данни на жертвите, поддържане на достъп до задната врата и извличане на допълнителни полезни товари от сървъра за командване и контрол (C2).

 „Уинтър Вивърн“ е ограничена по отношение на ресурсите, но изключително креативна група, която проявява сдържаност в обхвата на атаките си“, казва Хегел.

„Способността им да привличат цели в атаките и насочването им към правителства и частни предприятия с висока стойност показват нивото на сложност и стратегически намерения в операциите им.“

Макар че Winter Vivern може да е успяла да избегне общественото внимание за продължителни периоди от време, една група, която не се притеснява твърде много да остане под радара, е Nobelium, която има общи припокривания с APT29 (известна още като BlueBravo, Cozy Bear или The Dukes).

Използваните URL адреси, хоствани на легитимен уебсайт на онлайн библиотека, базиран в Ел Салвадор, съдържат примамки, свързани с LegisWrite и eTrustEx, които се използват от държавите от ЕС за сигурен обмен на документи.

Доставеният в кампанията HTML дропър (наречен ROOTSAW или EnvyScout) вгражда ISO имидж, което на свой ред е предназначено да стартира зловредна библиотека за динамични връзки (DLL), която улеснява доставката на следващ етап на зловреден софтуер чрез API на Notion.

Използването на Notion, популярно приложение за водене на бележки, за C2 комуникации беше разкрито по-рано от Recorded Future през януари 2023 г. Струва си да се отбележи, че APT29 е използвала различни онлайн услуги като Dropbox, Google Drive, Firebase и Trello в опит да избегне откриване.

„Nobelium остава изключително активен, като изпълнява множество паралелни кампании, насочени към правителствени организации, неправителствени организации (НПО), междуправителствени организации (МПО) и мозъчни тръстове в САЩ, Европа и Централна Азия“, заяви Microsoft миналия месец.

Констатациите идват и след като фирмата за корпоративна сигурност Proofpoint разкри агресивни кампании по електронна поща, организирани от свързания с Русия участник в заплахи, наречен TA499 (известен още като Lexus и Vovan), от началото на 2021 г., за да подмами целите да участват в записани телефонни разговори или видеочатове и да извлече ценна информация.

„Извършителят се е ангажирал с постоянна дейност и е разширил целеполагането си, като е включил известни бизнесмени и високопоставени лица, които са направили големи дарения за украинските хуманитарни усилия, или такива, които правят публични изявления за руската дезинформация и пропаганда“, заяви компанията.

Източник: The Hacker News

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
08/10/2024

Белгия под киберобсада

Кибератака е засегнала онлайн услугите на...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!