APT29 атакует дипломатические ведомства в Европе, Америке и Азии

Хакерская группировка, связанная с российскими спецслужбами, развернула масштабную кампанию против дипломатических и государственных структур сразу на трёх континентах — в Европе, Америке и Азии. Об этом сообщила компания Mandiant, специализирующаяся на анализе киберугроз и реагировании на инциденты.

Атаки — часть серии фишинговых рассылок, стартовавшей 17 января 2022 года. Ответственность за них аналитики Mandiant возлагают на группу APT29, также известную под именами Cozy Bear, Dukes и Yttrium. Считается, что за APT29 стоит Служба внешней разведки России. Именно эта группа, по оценкам исследователей, стояла за атакой на SolarWinds в 2020 году, в результате которой оказались скомпрометированы сотни организаций.

В своём отчёте Mandiant отметила: «Целевой фишинг — последняя волна атак APT29, направленная на получение дипломатических данных и сведений о внешней политике правительств по всему миру».

Как происходит заражение

По данным исследователей, APT29 рассылала целевые фишинговые письма, маскируя их под административные обновления от посольств. Отправителями значились адреса реальных, но уже скомпрометированных дипломатических организаций — это повышало доверие получателей. Судя по всему, злоумышленники ориентировались на публично доступные списки контактных лиц сотрудников посольств.

Каждое такое письмо содержало HTML-дроппер под названием ROOTSAW. С его помощью через технику HTML smuggling на компьютер жертвы доставлялся файл в формате IMG или ISO. После заражения система запускала цепочку, которая при открытии файла активировала загрузчик BEATDROP.

Инструменты атаки

BEATDROP написан на языке C и предназначен для загрузки вредоносного ПО с удалённого сервера управления, доступ к которому можно получить через удалённый рабочий стол. Для хранения данных жертв и получения полезной нагрузки в виде шелл-кода злоумышленники используют сервис Trello от Atlassian: шелл-код шифруется алгоритмом AES и выполняется после входа жертвы в систему.

Для закрепления в атакуемой среде операторы APT29 также применяли инструмент BOOMMIC, известный ещё как VaporRage.

Начиная с февраля 2022 года группа сменила тактику: вместо BEATDROP теперь используется загрузчик BEACON, написанный на C++. Это изменение исследователи связывают с очередной сменой операционного подхода APT29. BEACON — часть фреймворка Cobalt Strike и позволяет злоумышленникам:

  • выполнять произвольные команды;
  • передавать файлы;
  • делать скриншоты экрана;
  • перехватывать нажатия клавиш (кейлоггинг).

Совпадение с данными Microsoft

Выводы Mandiant пересекаются со специальным отчётом Microsoft, в котором описывались попытки группы Nobelium скомпрометировать IT-компании. По данным Microsoft, атакованные IT-фирмы преимущественно обслуживают государственных заказчиков из стран НАТО. Похищая информацию у западных организаций, занимающихся внешней политикой, злоумышленники используют её в собственных интересах.

Источник: Cybersecurity News.