Winter Vivern е насочена към индийски, източноевропейски и ватикански чиновници

АРТ групата, известна като Winter Vivern, е свързана с кампании, насочени към правителствени служители в Индия, Литва, Словакия и Ватикана от 2021 г. насам.

Дейността е била насочена към полски правителствени агенции, Министерството на външните работи на Украйна, Министерството на външните работи на Италия и лица в индийското правителство, съобщи SentinelOne в доклад, споделен с The Hacker News.

„От особен интерес е насочването на APT към частни предприятия, включително телекомуникационни организации, които подкрепят Украйна в продължаващата война“, заяви старши изследователят на заплахи Том Хегел.

Winter Vivern, проследяван и като UAC-0114, привлече вниманието миналия месец, след като Екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) подробно описа нова кампания, насочена към държавните органи на Украйна и Полша, за да достави зловреден софтуер, наречен Aperetif.

Предишни публични доклади, съдържащи хроника на групата, показват, че тя е използвала въоръжени документи на Microsoft Excel, съдържащи макроси XLM, за да разположи импланти на PowerShell на компрометирани хостове.

Въпреки че произходът на субекта на заплахата е неизвестен, моделите на атаки предполагат, че клъстерът е съобразен с цели, които подкрепят интересите на правителствата на Беларус и Русия.

UAC-0114 е използвала разнообразни методи, вариращи от фишинг уебсайтове до злонамерени документи, които са съобразени с целевата организация, за да разпространява своите персонализирани полезни товари и да получава неоторизиран достъп до чувствителни системи.

При една група от атаки, наблюдавани в средата на 2022 г., Winter Vivern създава уебстраници за фишинг на удостоверения, за да примами потребителите на легитимната имейл услуга на индийското правителство email.gov[.]in.

Типичните вериги от атаки включват използване на пакетни скриптове, маскирани като антивирусни скенери, за да се задейства разгръщането на троянския кон Aperetif от контролирана от извършителя инфраструктура, като например компрометирани сайтове на WordPress.

Aperetif, зловреден софтуер, базиран на Visual C++, се предлага с функции за събиране на данни на жертвите, поддържане на достъп до задната врата и извличане на допълнителни полезни товари от сървъра за командване и контрол (C2).

 „Уинтър Вивърн“ е ограничена по отношение на ресурсите, но изключително креативна група, която проявява сдържаност в обхвата на атаките си“, казва Хегел.

„Способността им да привличат цели в атаките и насочването им към правителства и частни предприятия с висока стойност показват нивото на сложност и стратегически намерения в операциите им.“

Макар че Winter Vivern може да е успяла да избегне общественото внимание за продължителни периоди от време, една група, която не се притеснява твърде много да остане под радара, е Nobelium, която има общи припокривания с APT29 (известна още като BlueBravo, Cozy Bear или The Dukes).

Използваните URL адреси, хоствани на легитимен уебсайт на онлайн библиотека, базиран в Ел Салвадор, съдържат примамки, свързани с LegisWrite и eTrustEx, които се използват от държавите от ЕС за сигурен обмен на документи.

Доставеният в кампанията HTML дропър (наречен ROOTSAW или EnvyScout) вгражда ISO имидж, което на свой ред е предназначено да стартира зловредна библиотека за динамични връзки (DLL), която улеснява доставката на следващ етап на зловреден софтуер чрез API на Notion.

Използването на Notion, популярно приложение за водене на бележки, за C2 комуникации беше разкрито по-рано от Recorded Future през януари 2023 г. Струва си да се отбележи, че APT29 е използвала различни онлайн услуги като Dropbox, Google Drive, Firebase и Trello в опит да избегне откриване.

„Nobelium остава изключително активен, като изпълнява множество паралелни кампании, насочени към правителствени организации, неправителствени организации (НПО), междуправителствени организации (МПО) и мозъчни тръстове в САЩ, Европа и Централна Азия“, заяви Microsoft миналия месец.

Констатациите идват и след като фирмата за корпоративна сигурност Proofpoint разкри агресивни кампании по електронна поща, организирани от свързания с Русия участник в заплахи, наречен TA499 (известен още като Lexus и Vovan), от началото на 2021 г., за да подмами целите да участват в записани телефонни разговори или видеочатове и да извлече ценна информация.

„Извършителят се е ангажирал с постоянна дейност и е разширил целеполагането си, като е включил известни бизнесмени и високопоставени лица, които са направили големи дарения за украинските хуманитарни усилия, или такива, които правят публични изявления за руската дезинформация и пропаганда“, заяви компанията.

Източник: The Hacker News

Подобни публикации

20 март 2023

Хакерите са се насочвали предимно към уязвимост...

Хакерите продължават да се насочват към уязвимостите от типа „...
20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
Бъдете социални
Още по темата
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
15/03/2023

Федералната агенция на САЩ ...

Миналата година уеб сървърът на Microsoft...
13/03/2023

Шпионират ли ви през вашия ...

Новият зловреден софтуер HiatusRAT се насочва...
Последно добавени
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!