Търсене
Close this search box.

Winter Vivern е насочена към индийски, източноевропейски и ватикански чиновници

АРТ групата, известна като Winter Vivern, е свързана с кампании, насочени към правителствени служители в Индия, Литва, Словакия и Ватикана от 2021 г. насам.

Дейността е била насочена към полски правителствени агенции, Министерството на външните работи на Украйна, Министерството на външните работи на Италия и лица в индийското правителство, съобщи SentinelOne в доклад, споделен с The Hacker News.

„От особен интерес е насочването на APT към частни предприятия, включително телекомуникационни организации, които подкрепят Украйна в продължаващата война“, заяви старши изследователят на заплахи Том Хегел.

Winter Vivern, проследяван и като UAC-0114, привлече вниманието миналия месец, след като Екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) подробно описа нова кампания, насочена към държавните органи на Украйна и Полша, за да достави зловреден софтуер, наречен Aperetif.

Предишни публични доклади, съдържащи хроника на групата, показват, че тя е използвала въоръжени документи на Microsoft Excel, съдържащи макроси XLM, за да разположи импланти на PowerShell на компрометирани хостове.

Въпреки че произходът на субекта на заплахата е неизвестен, моделите на атаки предполагат, че клъстерът е съобразен с цели, които подкрепят интересите на правителствата на Беларус и Русия.

UAC-0114 е използвала разнообразни методи, вариращи от фишинг уебсайтове до злонамерени документи, които са съобразени с целевата организация, за да разпространява своите персонализирани полезни товари и да получава неоторизиран достъп до чувствителни системи.

При една група от атаки, наблюдавани в средата на 2022 г., Winter Vivern създава уебстраници за фишинг на удостоверения, за да примами потребителите на легитимната имейл услуга на индийското правителство email.gov[.]in.

Типичните вериги от атаки включват използване на пакетни скриптове, маскирани като антивирусни скенери, за да се задейства разгръщането на троянския кон Aperetif от контролирана от извършителя инфраструктура, като например компрометирани сайтове на WordPress.

Aperetif, зловреден софтуер, базиран на Visual C++, се предлага с функции за събиране на данни на жертвите, поддържане на достъп до задната врата и извличане на допълнителни полезни товари от сървъра за командване и контрол (C2).

 „Уинтър Вивърн“ е ограничена по отношение на ресурсите, но изключително креативна група, която проявява сдържаност в обхвата на атаките си“, казва Хегел.

„Способността им да привличат цели в атаките и насочването им към правителства и частни предприятия с висока стойност показват нивото на сложност и стратегически намерения в операциите им.“

Макар че Winter Vivern може да е успяла да избегне общественото внимание за продължителни периоди от време, една група, която не се притеснява твърде много да остане под радара, е Nobelium, която има общи припокривания с APT29 (известна още като BlueBravo, Cozy Bear или The Dukes).

Използваните URL адреси, хоствани на легитимен уебсайт на онлайн библиотека, базиран в Ел Салвадор, съдържат примамки, свързани с LegisWrite и eTrustEx, които се използват от държавите от ЕС за сигурен обмен на документи.

Доставеният в кампанията HTML дропър (наречен ROOTSAW или EnvyScout) вгражда ISO имидж, което на свой ред е предназначено да стартира зловредна библиотека за динамични връзки (DLL), която улеснява доставката на следващ етап на зловреден софтуер чрез API на Notion.

Използването на Notion, популярно приложение за водене на бележки, за C2 комуникации беше разкрито по-рано от Recorded Future през януари 2023 г. Струва си да се отбележи, че APT29 е използвала различни онлайн услуги като Dropbox, Google Drive, Firebase и Trello в опит да избегне откриване.

„Nobelium остава изключително активен, като изпълнява множество паралелни кампании, насочени към правителствени организации, неправителствени организации (НПО), междуправителствени организации (МПО) и мозъчни тръстове в САЩ, Европа и Централна Азия“, заяви Microsoft миналия месец.

Констатациите идват и след като фирмата за корпоративна сигурност Proofpoint разкри агресивни кампании по електронна поща, организирани от свързания с Русия участник в заплахи, наречен TA499 (известен още като Lexus и Vovan), от началото на 2021 г., за да подмами целите да участват в записани телефонни разговори или видеочатове и да извлече ценна информация.

„Извършителят се е ангажирал с постоянна дейност и е разширил целеполагането си, като е включил известни бизнесмени и високопоставени лица, които са направили големи дарения за украинските хуманитарни усилия, или такива, които правят публични изявления за руската дезинформация и пропаганда“, заяви компанията.

Източник: The Hacker News

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
20 май 2024

Квантовата навигация може да замени GPS съвсем ...

Британски консорциум, финансиран от правителството на Обединеното к...
19 май 2024

Grandoreiro се завръща по - мощен след прекъсва...

Банковият троянец за Android „Grandoreiro“ се разпростр...
19 май 2024

Норвежци предсказват бедствия с ИИ

Норвежкият стартъп 7Analytics е получил 4 млн. евро, за да предскаж...
Бъдете социални
Още по темата
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Чрез GitHub и FileZilla се ...

Наблюдавана е „многостранна кампания“, при която...
19/05/2024

Grandoreiro се завръща по -...

Банковият троянец за Android „Grandoreiro“ се...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!