Een door de Russische staat gesteunde dreigingsactor is waargenomen als doelwit van diplomatieke en overheidsinstanties als onderdeel van een reeks phishing-campagnes die op 17 januari 2022 beginnen.
Bedreigingsinformatie en incidentresponsbedrijf Mandiant schreef de aanvallen toe aan een hackgroep die werd gevolgd als APT29 (ook bekend als Cosy Bear), waarbij een aantal activiteiten in verband met de bemanning de naam Nobelium kregen (ook bekend als UNC2452/2652).
“Deze laatste golf van spear-phishing toont de blijvende belangen van APT29 bij het verkrijgen van diplomatieke en buitenlandse beleidsinformatie van regeringen over de hele wereld”, aldus de Mandiant. zei in een rapport dat vorige week werd gepubliceerd.
De eerste toegang zou zijn geholpen door middel van spear-phishing-e-mails die zich voordoen als administratieve kennisgevingen, met behulp van legitieme maar gecompromitteerde e-mailadressen van andere diplomatieke entiteiten.
Deze e-mails bevatten een HTML-dropper-bijlage genaamd ROOTSAW (ook bekend als EnvyScout) die, wanneer geopend, een infectiereeks activeert die een downloader genaamd BEATDROP op een doelsysteem aflevert en uitvoert.
BEATDROP is geschreven in C en is ontworpen om next-stage malware op te halen van een remote command-and-control (C2) server. Het bereikt dit door de Trello-service van Atlassian te misbruiken om slachtofferinformatie op te slaan en AES-gecodeerde shellcode-payloads op te halen die moeten worden uitgevoerd.
Ook gebruikt door APT29 is een tool genaamd BOOMMIC (ook bekend als VaporRage) om voet aan de grond te krijgen in de omgeving, gevolgd door het escaleren van hun privileges binnen het gecompromitteerde netwerk voor laterale beweging en uitgebreide verkenning van hosts.
Wat meer is, een daaropvolgende operationele verschuiving die in februari 2022 werd waargenomen, zag de dreigingsactor wegdraaien van BEATDROP in het voordeel van een op C++ gebaseerde loader die BEACON wordt genoemd, mogelijk een weerspiegeling van het vermogen van de groep om hun TTP’s periodiek te wijzigen om onder de radar te blijven.
BEACON, geprogrammeerd in C of C++, maakt deel uit van het Cobalt Strike-framework dat het uitvoeren van willekeurige commando’s, bestandsoverdracht en andere achterdeurfuncties mogelijk maakt, zoals het maken van screenshots en keylogging.
De ontwikkeling volgt het cyberbeveiligingsbedrijf beslissing om de niet-gecategoriseerde cluster UNC2452 samen te voegen tot APT29, en daarbij de neiging van de zeer geavanceerde groep op te merken om zijn technische ambacht te ontwikkelen en te verfijnen om activiteiten te verdoezelen en zijn digitale voetafdruk te beperken om detectie te voorkomen.
Nobelium heeft met name meerdere ondernemingen gehackt door middel van een supply chain-aanval waarbij de tegenstander toegang heeft gekregen tot de broncode van SolarWinds en ermee heeft geknoeid, en de legitieme software-updates van de leverancier heeft gebruikt om de malware naar klantsystemen te verspreiden.
“De consistente en gestage vooruitgang in TTP’s getuigt van zijn gedisciplineerde aard en toewijding aan heimelijke operaties en volharding”, zei Mandiant, die APT29 karakteriseerde als een “evoluerende, gedisciplineerde en zeer bekwame dreigingsactor die opereert met een verhoogd niveau van operationele beveiliging (OPSEC). ) met het oog op het verzamelen van inlichtingen.”
De bevindingen vallen ook samen met een speciaal rapport van Microsoft, waarin werd geobserveerd dat Nobelium probeerde te breken met IT-bedrijven die overheidsklanten in NAVO-lidstaten bedienen, gebruikmakend van de toegang tot gegevens van westerse buitenlandse beleidsorganisaties.
