קמפיין דיוג רוסי פוגע ביעדים ברחבי העולם
קבוצה בחסות המדינה הרוסית מגבירה את מאמצי הדיוג שלה
חוקרי אבטחת סייבר הבחינו בעלייה משמעותית בקמפיינים של דיוג רוסי המכוונים לסוכנויות ממשלתיות וארגונים אחרים במערב.
בדוח מחקר חדש , Proofpoint אמרה שהיא זיהתה את APT28, AKA Fancy Bear, מפיצה כמות גדולה יותר של מיילים זדוניים למטרות ברחבי אירופה וצפון אמריקה.
הקמפיין החל במרץ 2023 והביא לעשרות אלפי הודעות דיוג שנשלחו לארגונים במגזרי ממשלה, תעופה וחלל, חינוך, פיננסים, ייצור וטכנולוגיה.
Outlook ו-WinRAR
המודיעין האמריקני מציב את פנסי בר תחת פיקוד ישיר של מנהל המודיעין הראשי של המטה הכללי הרוסי (GRU).
מיילים אלה נושאים קבצים זדוניים, או קישורים, ומנסים לנצל נקודות תורפה מרובות שקהילת אבטחת הסייבר גילתה ותיקנה לפני חודשים. המשמעות היא ש-Fancy Bear רודף אחרי ארגונים שלא כל כך חרוצים בכל הנוגע למערכות ולנקודות הקצה שלהם.
Proofpoint מייחדת שתי נקודות תורפה – CVE-2023-23397, שהוא ליקוי של העלאת הרשאות שנמצא ב- Microsoft Outlook, ו-CVE-2023-38831, פגם בביצוע קוד מרחוק שהתגלה לאחרונה ב-WinRAR. בעוד שהראשון מאפשר ל-ATP28 לנצל קבצי TNEF ולתפוס hash של סיסמת ה-NTLM של היעד, השני מאפשר ביצוע של "קוד שרירותי כאשר משתמש מנסה להציג קובץ שפיר בארכיון ZIP."
בעוד שמטרת הקמפיין נתונה לוויכוח, סביר להניח שהיא לאסוף מידע מודיעיני. זה עלול להזיק במיוחד אם הקמפיין יצליח במגזרי הממשלה, התעופה והחלל והטכנולוגיה.
הפעם האחרונה ששמענו על APT28 הייתה בסוף אביב 2023, שנה שבה הקבוצה פנתה לעובדי ממשלה אוקראינית עם תוכנות זדוניות גונבות מידע על ידי התחזות לצוות IT שעובד במוסדות אלה. לאחר יצירת קשר מוצלח עם היעדים שלהם, ההאקרים היו משכנעים אותם להפעיל פקודת PowerShell שתוריד תוכנה זדונית גונבת מידע.