Ngày 14 tháng 4 năm 2023Ravie LakshmananHoa Kỳ
liên kết với Nga APT29 (hay còn gọi là Cozy Bear) kẻ đe dọa đã được quy cho một chiến dịch gián điệp mạng đang diễn ra nhắm vào các bộ ngoại giao và các cơ quan ngoại giao ở các quốc gia thành viên NATO, Liên minh Châu Âu và Châu Phi.
Theo Cơ quan phản gián quân sự của Ba Lan và nhóm CERT Polska, hoạt động được quan sát có chung điểm trùng lặp chiến thuật với một cụm được Microsoft theo dõi là Nobelium, được biết đến với cuộc tấn công nổi tiếng vào SolarWinds vào năm 2020.
Các hoạt động của Nobelium được quy cho Cơ quan Tình báo Nước ngoài của Nga (SVR), một tổ chức có nhiệm vụ bảo vệ “các cá nhân, xã hội và nhà nước khỏi các mối đe dọa từ nước ngoài.”
Điều đó nói rằng, chiến dịch đại diện cho một sự phát triển của các chiến thuật của nhóm hack do Kremlin hậu thuẫn, cho thấy những nỗ lực liên tục cải thiện vũ khí mạng của họ để xâm nhập vào các hệ thống nạn nhân để thu thập thông tin tình báo.
“Các công cụ mới được sử dụng đồng thời và độc lập với nhau, hoặc thay thế những công cụ đã giảm hiệu quả, cho phép tác nhân duy trì nhịp độ hoạt động liên tục, cao”, các cơ quan cho biết.
Các cuộc tấn công bắt đầu bằng các email lừa đảo mạo danh các đại sứ quán châu Âu nhằm mục đích lôi kéo các nhà ngoại giao mục tiêu mở các tệp đính kèm có chứa phần mềm độc hại dưới vỏ bọc của một lời mời hoặc một cuộc họp.
Được nhúng trong tệp đính kèm PDF là một URL bẫy bẫy dẫn đến việc triển khai một trình nhỏ giọt HTML có tên là EnvyScout (hay còn gọi là ROOTSAW), sau đó được sử dụng làm đường dẫn để phân phối ba chủng SNOWYAMBER, HALFRIG và QUARTERRIG chưa biết trước đó.
SNOWYAMBER, còn được gọi là GraphicalNeutrino bởi Recorded Future, tận dụng dịch vụ ghi chú Notion cho lệnh và kiểm soát (C2) và tải xuống các tải trọng bổ sung như Brute Ratel.
QUARTERRIG cũng hoạt động như một trình tải xuống có khả năng truy xuất tệp thực thi từ máy chủ do tác nhân kiểm soát. Mặt khác, HALFRIG hoạt động như một trình tải để khởi chạy bộ công cụ hậu khai thác Cobalt Strike có trong nó.
Điều đáng chú ý là tiết lộ phù hợp với những phát hiện gần đây của BlackBerry, trong đó nêu chi tiết chiến dịch Nobelium nhắm vào các nước thuộc Liên minh Châu Âu, với sự nhấn mạnh cụ thể vào các cơ quan “hỗ trợ công dân Ukraine chạy trốn khỏi đất nước và cung cấp trợ giúp cho chính phủ Ukraine.”
