Polonya’nın Askeri Karşı İstihbarat Servisi ve Bilgisayar Acil Durum Müdahale Ekibi, Rus hükümetinin Dış İstihbarat Servisi’nin (SVR) bir parçası olan devlet destekli APT29 bilgisayar korsanlarını NATO ve Avrupa Birliği ülkelerini hedef alan yaygın saldırılarla ilişkilendirdi.
Bu kampanyanın bir parçası olarak, siber casusluk grubu (Cozy Bear ve Nobelium olarak da izlenir), diplomatik kuruluşlardan ve dışişleri bakanlıklarından bilgi toplamayı amaçladı.
Bugün yayınlanan bir danışma belgesi, “Raporun yayınlandığı sırada kampanya hâlâ devam etmekte ve geliştirilme aşamasındadır” uyarısında bulunuyor.
“Askeri Karşı İstihbarat Servisi ve CERT.PL, aktörün ilgi alanına girebilecek tüm kuruluşlara, kullanımdaki BT Güvenlik sistemlerinin güvenliğini artırmayı ve saldırıların tespitini artırmayı amaçlayan mekanizmalar uygulamasını tavsiye ediyor.”
Saldırganlar, kötü amaçlı web sitelerine bağlantılar veya ISO, IMG ve ZIP dosyaları aracılığıyla kötü amaçlı yazılım dağıtmak için tasarlanmış ekler içeren Avrupa ülkelerinin büyükelçiliklerini taklit eden hedef odaklı kimlik avı e-postaları kullanarak diplomatik personeli hedef aldı.
APT29 bulaşmış kurbanlar tarafından kontrol edilen web siteleri, SNOWYAMBER ve QUARTERRIG olarak bilinen indiricilerin konuşlandırılmasına yardımcı olan ve ek kötü amaçlı yazılımların yanı sıra HALFRIG adlı bir CobaltStrike Beacon hazırlama aracının dağıtılmasına yardımcı olan HTML kaçakçılığı yoluyla EnvyScout damlacısı ile kontrol ediliyor.
SNOWYAMBER ve QUARTERRIG, saldırganların her bir hedefin alaka düzeyini değerlendirmesine ve kötü amaçlı yazılım analizi için kullanılan bal küplerini veya VM’leri tehlikeye atıp atmadığını belirlemesine yardımcı olmak için keşif için kullanıldı.
Bugün yayınlanan ayrı bir kötü amaçlı yazılım analizi raporunda, “Etkilenen iş istasyonu manuel doğrulamayı geçerse, yukarıda bahsedilen indiriciler, COBALT STRIKE veya BRUTE RATEL ticari araçlarını teslim etmek ve başlatmak için kullanıldı.”
“Öte yandan HALFRIG, sözde bir yükleyici olarak çalışır – COBALT STRIKE yükünü içerir ve otomatik olarak çalıştırır.”
APT29, üç yıl önce birden fazla ABD federal kurumunun gizliliğinin ihlal edilmesine yol açan SolarWinds tedarik zinciri saldırısıyla da bağlantılı olan Rus Dış İstihbarat Servisi’nin (SVR) bilgisayar korsanlığı bölümüdür.
O zamandan beri bilgisayar korsanlığı grubu, TrailBlazer olarak izlenen yeni bir kötü amaçlı yazılım ve GoldMax Linux arka kapısının bir çeşidi de dahil olmak üzere yıllarca tespit edilmeden kalan gizli kötü amaçlı yazılımları kullanarak diğer kuruluşların ağlarını ihlal etti.
Birim 42, Rus SVR siber casuslarıyla bağlantılı olduğundan şüphelenilen saldırılarda kullanılan Brute Ratel düşmanca saldırı simülasyon aracını da gözlemledi.
Daha yakın bir zamanda Microsoft, APT29 bilgisayar korsanlarının Windows sistemlerinde herhangi biri olarak oturum açmak için Active Directory Federasyon Hizmetlerini (ADFS) ele geçirebilen yeni kötü amaçlı yazılım kullandığını bildirdi.
Ayrıca, dış politika bilgilerine erişme girişimlerinde NATO ülkelerindeki Microsoft 365 hesaplarını hedef aldılar ve Avrupa çapında hükümetleri, büyükelçilikleri ve üst düzey yetkilileri hedef alan bir kimlik avı kampanyası dalgası düzenlediler.