Οι hackers APT29 δελεάζουν διπλωμάτες με διαφημίσεις αυτοκινήτων – Σε κίνδυνο και Έλληνες διπλωμάτες

Οι Ρώσοι hackers “APT29“, γνωστοί και ως Nobelium ή Cloaked Ursa, χρησιμοποιούν ασυνήθιστα τεχνάσματα για να εξαπατήσουν διπλωμάτες στην Ουκρανία. Για παράδειγμα, χρησιμοποιούν διαφημίσεις αυτοκινήτων ως δέλεαρ, προκειμένου να τους κάνουν να πατήσουν σε κακόβουλους συνδέσμους και να κατεβάσουν κακόβουλο λογισμικό.

Η APT29 συνδέεται με το Foreign Intelligence Service (SVR) της ρωσικής κυβέρνησης και έχει συνδεθεί με πολλές εκστρατείες κυβερνοκατασκοπείας.

Τα τελευταία δύο χρόνια, οι Ρώσοι hackers έχουν στοχεύσει μέλη του ΝΑΤΟ, της ΕΕ και της Ουκρανίας, χρησιμοποιώντας phishing emails και έγγραφα που συνήθως έχουν θέματα σχετικά με την εξωτερική πολιτική. Τα emails περιέχουν ψεύτικους ιστότοπους για να μολύνουν τους στόχους τους με backdoors.

Δείτε επίσης: SonicWall: Προειδοποιεί για κρίσιμες ευπάθειες

SecNewsTV

24.6K subscribers

Περισσότερα... Subscribe!

Η ομάδα Unit 42 της Palo Alto Network αναφέρει σε μια νέα έκθεσή της ότι η APT29 εξελίσσει τις τακτικές phishing, χρησιμοποιώντας πιο προσωπικά δέλεαρ για τους παραλήπτες.

Διαφήμιση πολυτελών αυτοκινήτων στο Κίεβο

Η Unit 42 ανέφερε μια πρόσφατη επιχείρηση της APT29 που ξεκίνησε τον Μάιο του 2023. Οι δράστες χρησιμοποιούσαν μια διαφήμιση για αυτοκίνητα BMW για να στοχοποιήσουν διπλωμάτες στο Κίεβο της Ουκρανίας.

Μια διαφήμιση για την πώληση του αυτοκινήτου στάλθηκε στις διευθύνσεις email διπλωματών.

Όταν οι παραλήπτες κάνουν κλικ στον σύνδεσμο “περισσότερες φωτογραφίες υψηλής ποιότητας” που είναι ενσωματωμένος στο κακόβουλο έγγραφο, ανακατευθύνονται σε μια σελίδα HTML που παρέχει κακόβουλα ISO file payloads μέσω HTML smuggling.

Δείτε επίσης: Η Fortinet προειδοποιεί για κρίσιμο RCE bug σε συσκευές FortiOS, FortiProxy

Το HTML smuggling είναι μια τεχνική που χρησιμοποιείται συχνά σε καμπάνιες phishing και βοηθά στην αποφυγή εντοπισμού από λογισμικό ασφαλείας, καθώς ο κακόβουλος κώδικας συγκαλύπτεται και αποκωδικοποιείται μόνο κατά το rendering στο πρόγραμμα περιήγησης.

Το ISO file περιέχει εννέα εικόνες PNG, αλλά στην πραγματικότητα είναι αρχεία LNK που ενεργοποιούν την αλυσίδα μόλυνσης.

Όταν το θύμα ανοίγει οποιοδήποτε από τα αρχεία LNK που παρουσιάζονται ως εικόνες PNG, ξεκινά ένα νόμιμο εκτελέσιμο αρχείο που χρησιμοποιεί DLL side-loading για να εισάγει shellcode στην τρέχουσα διεργασία στη μνήμη.

Η Unit 42 αναφέρει ότι αυτή η εκστρατεία έχει στοχεύσει τουλάχιστον 22 από τις 80 ξένες αποστολές στο Κίεβο, συμπεριλαμβανομένων εκείνων των Ηνωμένων Πολιτειών, του Καναδά, της Τουρκίας, της Ισπανίας, της Ολλανδίας, της Ελλάδας, της Εσθονίας και της Δανίας. Ωστόσο, δεν γνωρίζουμε ακριβώς πόσοι διπλωμάτες έχουν επηρεαστεί.

Μια άλλη πρόσφατη επίθεση των APT29 hackers περιελάμβανε ένα PDF που στάλθηκε στο Τουρκικό Υπουργείο Εξωτερικών (MFA) νωρίτερα το 2023, και είχε ως θέμα “ανθρωπιστική βοήθεια για τον σεισμό” που έπληξε την Τουρκία τον Φεβρουάριο.

Δείτε επίσης: Η Bangkok Post δέχτηκε επίθεση ransomware

Σύμφωνα με τη Unit 42, το κακόβουλο PDF πιθανότατα κοινοποιήθηκε μεταξύ των υπαλλήλων του Υπουργείου και προωθήθηκε σε άλλους τουρκικούς οργανισμούς.

Καθώς η κατάσταση μεταξύ Ουκρανίας και Ρωσίας συνεχίζει να είναι εκρηκτική, αναμένεται ότι οι ρωσικές hacking ομάδες θα συνεχίσουν να εντείνουν τις προσπάθειές τους να στοχεύσουν διπλωματικές αποστολές.

Οι επιθέσεις phishing αποτελούν συνεχή απειλή για την ασφάλεια στο διαδίκτυο, αλλά με λίγη γνώση και προσπάθεια, μπορείτε να προστατευθείτε από αυτές τις επιθέσεις. Να είστε πάντα προσεκτικοί σχετικά με τυχόν ανεπιθύμητα μηνύματα και να επαληθεύετε την αυθεντικότητα των μηνυμάτων και των συνδέσμων πριν κάνετε κλικ σε αυτά. Χρησιμοποιήστε μέτρα ασφαλείας όπως προστασία από ιούς και έλεγχο ταυτότητας δύο παραγόντων για να προστατεύσετε τα δεδομένα σας από κλοπή.

Πηγή: www.bleepingcomputer.com