Winter Vivern е насочена към индийски, източноевропейски и ватикански чиновници

АРТ групата, известна като Winter Vivern, е свързана с кампании, насочени към правителствени служители в Индия, Литва, Словакия и Ватикана от 2021 г. насам.

Дейността е била насочена към полски правителствени агенции, Министерството на външните работи на Украйна, Министерството на външните работи на Италия и лица в индийското правителство, съобщи SentinelOne в доклад, споделен с The Hacker News.

„От особен интерес е насочването на APT към частни предприятия, включително телекомуникационни организации, които подкрепят Украйна в продължаващата война“, заяви старши изследователят на заплахи Том Хегел.

Winter Vivern, проследяван и като UAC-0114, привлече вниманието миналия месец, след като Екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) подробно описа нова кампания, насочена към държавните органи на Украйна и Полша, за да достави зловреден софтуер, наречен Aperetif.

Предишни публични доклади, съдържащи хроника на групата, показват, че тя е използвала въоръжени документи на Microsoft Excel, съдържащи макроси XLM, за да разположи импланти на PowerShell на компрометирани хостове.

Въпреки че произходът на субекта на заплахата е неизвестен, моделите на атаки предполагат, че клъстерът е съобразен с цели, които подкрепят интересите на правителствата на Беларус и Русия.

UAC-0114 е използвала разнообразни методи, вариращи от фишинг уебсайтове до злонамерени документи, които са съобразени с целевата организация, за да разпространява своите персонализирани полезни товари и да получава неоторизиран достъп до чувствителни системи.

При една група от атаки, наблюдавани в средата на 2022 г., Winter Vivern създава уебстраници за фишинг на удостоверения, за да примами потребителите на легитимната имейл услуга на индийското правителство email.gov[.]in.

Типичните вериги от атаки включват използване на пакетни скриптове, маскирани като антивирусни скенери, за да се задейства разгръщането на троянския кон Aperetif от контролирана от извършителя инфраструктура, като например компрометирани сайтове на WordPress.

Aperetif, зловреден софтуер, базиран на Visual C++, се предлага с функции за събиране на данни на жертвите, поддържане на достъп до задната врата и извличане на допълнителни полезни товари от сървъра за командване и контрол (C2).

 „Уинтър Вивърн“ е ограничена по отношение на ресурсите, но изключително креативна група, която проявява сдържаност в обхвата на атаките си“, казва Хегел.

„Способността им да привличат цели в атаките и насочването им към правителства и частни предприятия с висока стойност показват нивото на сложност и стратегически намерения в операциите им.“

Макар че Winter Vivern може да е успяла да избегне общественото внимание за продължителни периоди от време, една група, която не се притеснява твърде много да остане под радара, е Nobelium, която има общи припокривания с APT29 (известна още като BlueBravo, Cozy Bear или The Dukes).

Използваните URL адреси, хоствани на легитимен уебсайт на онлайн библиотека, базиран в Ел Салвадор, съдържат примамки, свързани с LegisWrite и eTrustEx, които се използват от държавите от ЕС за сигурен обмен на документи.

Доставеният в кампанията HTML дропър (наречен ROOTSAW или EnvyScout) вгражда ISO имидж, което на свой ред е предназначено да стартира зловредна библиотека за динамични връзки (DLL), която улеснява доставката на следващ етап на зловреден софтуер чрез API на Notion.

Използването на Notion, популярно приложение за водене на бележки, за C2 комуникации беше разкрито по-рано от Recorded Future през януари 2023 г. Струва си да се отбележи, че APT29 е използвала различни онлайн услуги като Dropbox, Google Drive, Firebase и Trello в опит да избегне откриване.

„Nobelium остава изключително активен, като изпълнява множество паралелни кампании, насочени към правителствени организации, неправителствени организации (НПО), междуправителствени организации (МПО) и мозъчни тръстове в САЩ, Европа и Централна Азия“, заяви Microsoft миналия месец.

Констатациите идват и след като фирмата за корпоративна сигурност Proofpoint разкри агресивни кампании по електронна поща, организирани от свързания с Русия участник в заплахи, наречен TA499 (известен още като Lexus и Vovan), от началото на 2021 г., за да подмами целите да участват в записани телефонни разговори или видеочатове и да извлече ценна информация.

„Извършителят се е ангажирал с постоянна дейност и е разширил целеполагането си, като е включил известни бизнесмени и високопоставени лица, които са направили големи дарения за украинските хуманитарни усилия, или такива, които правят публични изявления за руската дезинформация и пропаганда“, заяви компанията.

Източник: The Hacker News

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
Бъдете социални
Още по темата
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
20/09/2023

APT36 заразяват устройства ...

Хакерската група APT36, известна още като...
20/09/2023

Microsoft: Кибератаките "Pe...

Microsoft предупреждава, че глобална кампания за...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!