Ein vom russischen Staat gesponserter Bedrohungsakteur hat im Rahmen einer Reihe von Phishing-Kampagnen, die am 17. Januar 2022 begann, diplomatische und staatliche Einrichtungen ins Visier genommen.
Das Threat Intelligence- und Incident Response-Unternehmen Mandiant schreibt die Angriffe einer Hackergruppe zu, die unter dem Namen APT29 (auch bekannt als Cozy Bear) geführt wird und deren Aktivitäten teilweise unter dem Namen Nobelium (auch bekannt als UNC2452/2652) bekannt sind.
„Diese jüngste Spear-Phishing-Welle zeigt das anhaltende Interesse von APT29, diplomatische und außenpolitische Informationen von Regierungen auf der ganzen Welt zu erlangen“, so Mandiant in einem letzte Woche veröffentlichten Bericht.
Der anfängliche Zugriff soll durch Spear-Phishing-E-Mails erfolgt sein, die als Verwaltungsmitteilungen getarnt waren und legitime, aber kompromittierte E-Mail-Adressen von anderen diplomatischen Einrichtungen nutzten.
Diese E-Mails enthalten einen HTML-Dropper-Anhang namens ROOTSAW (auch bekannt als EnvyScout), der, wenn er geöffnet wird, eine Infektionssequenz auslöst, die einen Downloader namens BEATDROP auf das Zielsystem bringt und ausführt.
BEATDROP wurde in C geschrieben und soll die nächste Stufe der Malware von einem entfernten Command-and-Control (C2)-Server abrufen. Dazu wird der Trello-Dienst von Atlassian missbraucht, um Opferinformationen zu speichern und AES-verschlüsselte Shellcode-Payloads zur Ausführung zu erhalten.
APT29 setzt außerdem ein Tool namens BOOMMIC (auch bekannt als VaporRage) ein, um in der Umgebung Fuß zu fassen und anschließend seine Privilegien innerhalb des kompromittierten Netzwerks zu erweitern, um sich seitlich zu bewegen und Hosts ausgiebig auszukundschaften.
Darüber hinaus wurde im Februar 2022 beobachtet, dass die Bedrohungsakteure BEATDROP zugunsten eines C++-basierten Loaders mit dem Namen BEACON ablösten.
BEACON wurde in C oder C++ programmiert und ist Teil des Cobalt Strike-Frameworks, das die Ausführung beliebiger Befehle, den Dateitransfer und andere Backdoor-Funktionen wie das Aufzeichnen von Screenshots und Keylogging ermöglicht.
Die Entwicklung folgt auf die Entscheidung des Cybersecurity-Unternehmens, den nicht kategorisierten Cluster UNC2452 in APT29 einzugliedern. Gleichzeitig wurde festgestellt, dass die hochentwickelte Gruppe dazu neigt, ihr technisches Handwerk weiterzuentwickeln und zu verfeinern, um ihre Aktivitäten zu verschleiern und ihren digitalen Fußabdruck zu begrenzen, damit sie nicht entdeckt wird.
Nobelium hat mehrere Unternehmen durch einen Angriff über die Lieferkette infiltriert, bei dem der Angreifer auf den Quellcode von SolarWinds zugriff und diesen manipulierte und die legitimen Software-Updates des Herstellers nutzte, um die Malware auf Kundensysteme zu übertragen.
„Die konsequente und stetige Weiterentwicklung der TTPs spricht für ihre disziplinierte Natur und ihr Engagement für verdeckte Operationen und Ausdauer“, sagte Mandiant und bezeichnete APT29 als „sich weiterentwickelnden, disziplinierten und hochqualifizierten Bedrohungsakteur, der mit einem erhöhten Maß an operativer Sicherheit (OPSEC) für die Zwecke der Informationsbeschaffung operiert“.
Die Ergebnisse decken sich auch mit einem Sonderbericht von Microsoft, in dem beobachtet wurde, wie Nobelium versuchte, in IT-Firmen einzudringen, die Regierungskunden in NATO-Mitgliedsstaaten beliefern, und den Zugang nutzte, um Daten von westlichen außenpolitischen Organisationen abzuschöpfen.