Badan Kontra Intelijen Militer Polandia dan Tim Tanggap Darurat Komputernya telah mengaitkan peretas yang disponsori negara APT29, bagian dari Badan Intelijen Luar Negeri (SVR) pemerintah Rusia, dengan serangan luas yang menargetkan negara-negara NATO dan Uni Eropa.
Sebagai bagian dari kampanye ini, kelompok cyberespionage (juga dilacak sebagai Cozy Bear dan Nobelium) bertujuan untuk mengumpulkan informasi dari entitas diplomatik dan kementerian luar negeri.
“Pada saat publikasi laporan, kampanye masih berlangsung dan dalam pengembangan,” sebuah penasehat diterbitkan hari ini memperingatkan.
“Layanan Kontra Intelijen Militer dan CERT.PL merekomendasikan semua entitas yang mungkin berada dalam bidang kepentingan aktor untuk menerapkan mekanisme yang bertujuan untuk meningkatkan keamanan sistem Keamanan TI yang digunakan dan meningkatkan deteksi serangan.”
Penyerang telah menargetkan personel diplomatik menggunakan email spear phishing yang menyamar sebagai kedutaan besar negara-negara Eropa dengan tautan ke situs web berbahaya atau lampiran yang dirancang untuk menyebarkan malware melalui file ISO, IMG, dan ZIP.
Situs web yang dikendalikan oleh APT29 menginfeksi korban dengan dropper EnvyScout via penyelundupan HTMLyang membantu menyebarkan pengunduh yang dikenal sebagai SYAMBERSALJU Dan KUARTERRIG dan dirancang untuk memberikan malware tambahan, serta nama stager CobaltStrike Beacon SETENGAH.
SNOWYAMBER dan QUARTERRIG digunakan untuk pengintaian guna membantu penyerang mengevaluasi relevansi setiap target dan menentukan apakah mereka mengkompromikan honeypot atau VM yang digunakan untuk analisis malware.
“Jika workstation yang terinfeksi lulus verifikasi manual, pengunduh yang disebutkan di atas digunakan untuk mengirimkan dan memulai alat komersial COBALT STRIKE atau BRUTE RATEL,” sebuah laporan analisis malware terpisah yang dirilis hari ini membaca.
“HALFRIG, di sisi lain, berfungsi sebagai apa yang disebut loader – berisi muatan COBALT STRIKE dan menjalankannya secara otomatis.”
APT29 adalah divisi peretasan Layanan Intelijen Asing Rusia (SVR) yang juga terkait ke Serangan rantai pasokan SolarWinds yang menyebabkan kompromi beberapa agen federal AS tiga tahun lalu.
Sejak itu, grup peretasan telah menembus jaringan organisasi lain menggunakan malware tersembunyi yang tetap tidak terdeteksi selama bertahun-tahun, termasuk malware baru yang dilacak sebagai TrailBlazer dan varian backdoor GoldMax Linux.
Unit 42 juga mengamati alat simulasi serangan musuh Brute Ratel yang digunakan dalam serangan diduga terkait dengan mata-mata dunia maya SVR Rusia.
Baru-baru ini, Microsoft melaporkan bahwa Peretas APT29 menggunakan malware baru mampu membajak Layanan Federasi Direktori Aktif (ADFS) untuk masuk sebagai siapa pun di sistem Windows.
Mereka juga telah ditargetkan Akun Microsoft 365 di negara-negara NATO dalam upaya untuk mengakses informasi kebijakan luar negeri dan diatur gelombang kampanye phishing menargetkan pemerintah, kedutaan, dan pejabat tinggi di seluruh Eropa.
