Mối đe dọa liên tục nâng cao được gọi là Vivern mùa đông đã được liên kết với các chiến dịch nhắm mục tiêu vào các quan chức chính phủ ở Ấn Độ, Litva, Slovakia và Vatican kể từ năm 2021.
Hoạt động này nhắm vào các cơ quan chính phủ Ba Lan, Bộ Ngoại giao Ukraine, Bộ Ngoại giao Ý và các cá nhân trong chính phủ Ấn Độ, SentinelOne cho biết trong một báo cáo được chia sẻ với The Hacker News.
“Điều đáng quan tâm là APT nhắm mục tiêu vào các doanh nghiệp tư nhân, bao gồm cả các tổ chức viễn thông hỗ trợ Ukraine trong cuộc chiến đang diễn ra”, nhà nghiên cứu mối đe dọa cấp cao Tom Hegel cho biết.
Winter Vivern, còn được theo dõi với tên UAC-0114, đã thu hút sự chú ý vào tháng trước sau khi Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) trình bày chi tiết về một chiến dịch phần mềm độc hại mới nhằm vào các cơ quan nhà nước của Ukraine và Ba Lan để cung cấp một phần mềm độc hại có tên là Aperetif.
Các báo cáo công khai trước đây về nhóm này cho thấy nhóm này đã tận dụng các tài liệu Microsoft Excel được vũ khí hóa có chứa macro XLM để triển khai bộ cấy ghép PowerShell trên các máy chủ bị xâm nhập.
Mặc dù nguồn gốc của tác nhân đe dọa vẫn chưa được biết, nhưng các kiểu tấn công cho thấy cụm này phù hợp với các mục tiêu hỗ trợ lợi ích của chính phủ Belarus và Nga.
UAC-0114 đã sử dụng nhiều phương pháp khác nhau, từ các trang web lừa đảo đến các tài liệu độc hại, được điều chỉnh cho phù hợp với tổ chức được nhắm mục tiêu để phân phối tải trọng tùy chỉnh của nó và giành quyền truy cập trái phép vào các hệ thống nhạy cảm.
Trong một đợt tấn công được quan sát thấy vào giữa năm 2022, Winter Vivern đã thiết lập các trang web lừa đảo thông tin xác thực để thu hút người dùng dịch vụ email hợp pháp của chính phủ Ấn Độ email.gov[.]TRONG.
Các chuỗi tấn công điển hình liên quan đến việc sử dụng các tập lệnh hàng loạt giả dạng trình quét vi-rút để kích hoạt việc triển khai trojan Aperetif từ cơ sở hạ tầng do tác nhân kiểm soát, chẳng hạn như các trang web WordPress bị xâm phạm.
Aperetif, một phần mềm độc hại dựa trên Visual C++, đi kèm với các tính năng thu thập dữ liệu nạn nhân, duy trì quyền truy cập cửa hậu và truy xuất các tải trọng bổ sung từ máy chủ chỉ huy và kiểm soát (C2).
Hegel nói: “APT Winter Vivern là một nhóm có nguồn lực hạn chế nhưng rất sáng tạo, thể hiện sự kiềm chế trong phạm vi tấn công của chúng.
“Khả năng thu hút các mục tiêu vào các cuộc tấn công và nhắm mục tiêu của họ vào các chính phủ và doanh nghiệp tư nhân có giá trị cao chứng tỏ mức độ tinh vi và ý định chiến lược trong hoạt động của họ.”
Mặc dù Winter Vivern có thể đã xoay sở để trốn tránh sự chú ý của công chúng trong một thời gian dài, nhưng một nhóm không quá lo lắng về việc nằm dưới tầm ngắm là Nobelium, nhóm trùng lặp với APT29 (còn gọi là BlueBravo, Cozy Bear hoặc The Dukes).
Nhóm quốc gia-nhà nước được Kremlin hậu thuẫn, nổi tiếng với sự xâm phạm chuỗi cung ứng SolarWinds vào tháng 12 năm 2020, đã tiếp tục phát triển bộ công cụ của mình, phát triển phần mềm độc hại tùy chỉnh mới như MagicWeb và GraphicalNeutrino.
Nó cũng được cho là do một chiến dịch lừa đảo khác nhắm vào các tổ chức ngoại giao ở Liên minh châu Âu, đặc biệt nhấn mạnh vào các cơ quan đang “hỗ trợ công dân Ukraine chạy trốn khỏi đất nước và cung cấp trợ giúp cho chính phủ Ukraine.”
BlackBerry cho biết: “Nobelium tích cực thu thập thông tin tình báo về các quốc gia ủng hộ Ukraine trong cuộc chiến Nga-Ukraine. “Các tác nhân đe dọa cẩn thận theo dõi các sự kiện địa chính trị và sử dụng chúng để tăng khả năng lây nhiễm thành công.”
Các email lừa đảo, được phát hiện bởi nhóm nghiên cứu và tình báo của công ty, chứa một tài liệu được vũ khí hóa bao gồm một liên kết trỏ đến một tệp HTML.
Các URL được vũ khí hóa, được lưu trữ trên một trang web thư viện trực tuyến hợp pháp có trụ sở tại El Salvador, có các mồi nhử liên quan đến LegisWrite và eTrustEx, cả hai đều được các quốc gia EU sử dụng để trao đổi tài liệu an toàn.
Trình nhỏ giọt HTML (được đặt tên là ROOTSAW hoặc EnvyScout) được phân phối trong chiến dịch nhúng một hình ảnh ISO, do đó, được thiết kế để khởi chạy thư viện liên kết động độc hại (DLL) tạo điều kiện cho việc phân phối phần mềm độc hại giai đoạn tiếp theo thông qua API của Notion.
Việc sử dụng Notion, một ứng dụng ghi chú phổ biến, cho liên lạc C2 đã được Recorded Future tiết lộ trước đó vào tháng 1 năm 2023. Điều đáng chú ý là APT29 đã sử dụng nhiều dịch vụ trực tuyến khác nhau như Dropbox, Google Drive, Firebase và Trello nhằm trốn tránh phát hiện.
“Nobelium vẫn hoạt động tích cực, thực hiện nhiều chiến dịch song song nhắm mục tiêu vào các tổ chức chính phủ, tổ chức phi chính phủ (NGO), tổ chức liên chính phủ (IGO) và các nhóm chuyên gia cố vấn trên khắp Hoa Kỳ, Châu Âu và Trung Á”, Microsoft cho biết vào tháng trước.
Phát hiện này cũng được đưa ra khi công ty bảo mật doanh nghiệp Proofpoint tiết lộ các chiến dịch email tích cực do một kẻ đe dọa có liên hệ với Nga có tên TA499 (hay còn gọi là Lexus và Vovan) dàn dựng từ đầu năm 2021 để lừa các mục tiêu tham gia vào các cuộc gọi điện thoại hoặc trò chuyện video được ghi âm và trích xuất thông tin có giá trị.
Công ty cho biết: “Kẻ đe dọa đã tham gia vào hoạt động ổn định và mở rộng mục tiêu của nó bao gồm các doanh nhân nổi tiếng và các cá nhân cấp cao đã quyên góp lớn cho các nỗ lực nhân đạo của Ukraine hoặc những người đưa ra tuyên bố công khai về thông tin sai lệch và tuyên truyền của Nga”.
