Een Wit-Russische dreigingsactor die bekend staat als Ghostwriter (ook bekend als UNC1151) is gesignaleerd met behulp van de onlangs onthulde browser-in-the-browser (BitB)-techniek als onderdeel van hun phishing-campagnes met referenties, waarbij gebruik wordt gemaakt van het aanhoudende Russisch-Oekraïense conflict.
De methode, die zich voordoet als een legitiem domein door een browservenster in de browser te simuleren, maakt het mogelijk om overtuigende social engineering-campagnes op te zetten.
“Ghostwriter-acteurs hebben deze nieuwe techniek snel overgenomen door deze te combineren met een eerder waargenomen techniek, waarbij phishing-bestemmingspagina’s met referenties worden gehost op gecompromitteerde sites”, aldus de Threat Analysis Group (TAG) van Google. zei in een nieuw rapport en gebruikt het om inloggegevens die zijn ingevoerd door onvermoede slachtoffers naar een externe server over te hevelen.
Andere groepen die de oorlog gebruiken als lokmiddel in phishing- en malwarecampagnes om doelen te misleiden om frauduleuze e-mails of links te openen, zijn onder meer Mustang Panda en Scarab, evenals nationale actoren uit Iran, Noord-Korea en Rusland.
Ook opgenomen in de lijst is Curious Gorge, een hackploeg die TAG heeft toegeschreven aan China’s People’s Liberation Army Strategic Support Force (PLASSF), die aanvallen heeft georkestreerd tegen regerings- en militaire organisaties in Oekraïne, Rusland, Kazachstan en Mongolië.
Een derde reeks aanvallen die de afgelopen twee weken zijn waargenomen, was afkomstig van de in Rusland gevestigde hackgroep COLDRIVER (ook bekend als Calisto). TAG zei dat de acteur phishing-campagnes met referenties heeft opgezet die gericht waren op meerdere in de VS gevestigde NGO’s en denktanks, het leger van een Balkanland en een niet nader genoemde Oekraïense defensie-aannemer.
“TAG heeft echter voor het eerst COLDRIVER-campagnes geobserveerd die gericht zijn op het leger van meerdere Oost-Europese landen, evenals een NAVO-Center of Excellence”, zei TAG-onderzoeker Billy Leonard. “Deze campagnes zijn verzonden met nieuw aangemaakte Gmail-accounts naar niet-Google-accounts, dus het succespercentage van deze campagnes is onbekend.”
Viasat breekt aanval van 24 februari af
De onthulling komt op het moment dat het in de VS gevestigde telecommunicatiebedrijf Viasat details vrijgaf van een “veelzijdige en opzettelijke” cyberaanval op zijn KA-SAT-netwerk op 24 februari 2022, die samenviel met de Russische militaire invasie van Oekraïne.
De aanval op de satellietbreedbanddienst heeft tienduizenden modems van het netwerk losgekoppeld, met gevolgen voor verschillende klanten in Oekraïne en in heel Europa en voor de operaties van 5.800 windturbines van het Duitse bedrijf Enercon in Centraal-Europa.
“We denken dat het doel van de aanval was om de service te onderbreken”, zegt het bedrijf uitgelegd. “Er is geen bewijs dat er toegang is verkregen tot gegevens van eindgebruikers of dat er inbreuk is gemaakt op de persoonlijke apparatuur van de klant (pc’s, mobiele apparaten, enz.) infrastructuur zelf waren direct betrokken, aangetast of gecompromitteerd.”
Viasat koppelde de aanval aan een “grondgebaseerde netwerkinbraak” die misbruik maakte van een verkeerde configuratie in een VPN-apparaat om op afstand toegang te krijgen tot het KA-SAT-netwerk en destructieve opdrachten uit te voeren op de modems die “sleutelgegevens in het flashgeheugen overschreven”, waardoor ze tijdelijk geen toegang tot het netwerk.
Russische dissidenten doelwit met Cobalt Strike
De meedogenloze aanvallen zijn de laatste in een lange lijst van kwaadaardige cyberactiviteiten die zijn ontstaan in de nasleep van het aanhoudende conflict in Oost-Europa, waarbij overheids- en commerciële netwerken te lijden hebben onder een reeks ontwrichtende besmettingen met gegevenswissers, evenals een reeks lopende gedistribueerde denial-of-service (DDoS)-aanvallen.
Dit heeft ook de vorm aangenomen van het compromitteren van legitieme WordPress-sites om frauduleuze JavaScript-code te injecteren met als doel DDoS-aanvallen uit te voeren op Oekraïense domeinen, volgens onderzoekers van het MalwareHunterTeam.
Maar het is niet alleen Oekraïne. Malwarebytes Labs heeft deze week de details bekendgemaakt van een nieuwe spear-phishing-campagne gericht op Russische burgers en overheidsinstanties in een poging om schadelijke payloads op gecompromitteerde systemen in te zetten.
“De spear phishing-e-mails waarschuwen mensen die websites, sociale netwerken, instant messengers en VPN-services gebruiken die door de Russische regering zijn verboden en dat strafrechtelijke vervolging zal worden ingesteld”, zegt Hossein Jazi. zei. “Slachtoffers worden verleid om een kwaadaardige bijlage of link te openen om meer te weten te komen, om vervolgens besmet te raken met Cobalt Strike.”
De malware-geregen RTF-documenten bevatten een exploit voor de wijdverbreide misbruikte MSHTML-beveiligingslek voor de uitvoering van externe code (CVE-2021-40444), wat leidt tot de uitvoering van een JavaScript-code die een PowerShell-opdracht voortbrengt om een Cobalt Strike-beacon te downloaden en uit te voeren dat is opgehaald van een server op afstand.
Een ander cluster van activiteiten heeft mogelijk betrekking op een Russische dreigingsactor die wordt gevolgd als Carbon Spider (ook bekend als FIN7), die een soortgelijk maldocs-lokmiddel heeft gebruikt dat is ontworpen om een op PowerShell gebaseerde achterdeur te laten vallen die een uitvoerbaar bestand van de volgende fase kan ophalen en uitvoeren.
Malwarebytes zei ook dat het een “aanzienlijke toename heeft gedetecteerd in malwarefamilies die worden gebruikt met de bedoeling informatie te stelen of anderszins toegang te krijgen in Oekraïne”, waaronder Hacktool.LOIC, Ainslot WormFFDroider, Formulierenboek, Remcosen Quasar RAT.
“Hoewel deze families allemaal relatief vaak voorkomen in de cyberbeveiligingswereld, maakt het feit dat we getuige waren van pieken bijna precies toen Russische troepen de Oekraïense grens overstaken, deze ontwikkelingen interessant en ongebruikelijk”, zei Adam Kujawa, directeur van Malwarebytes Labs, in een verklaring gedeeld met Het Hackernieuws.
