这一时间也恰好在针对加拿大基础设施发起新的一波攻击,这些攻击被认为与俄罗斯有关。
4月13日,波兰军事反间谍局和波兰的CERT团队向可能受间谍活动影响的目标发出了威胁警报,并且同时还表现出了妥协的迹象。这个被微软称为Nobelium的组织,也被Mandiant称为APT29,该组织常年活跃于民族国家的间谍活动中;三年前,它曾发起过臭名昭著的SolarWinds供应链攻击。
波兰军方和CERT警告说,APT29现在使用了一套全新的恶意软件工具重新回归了,据说它的任务是渗透到支持乌克兰的国家外交使团中。
APT29使用新的工具重新回归
根据波兰的通知,高级持续性威胁(APT)总是会以巧妙的鱼叉式网络钓鱼电子邮件来开始其攻击。
当局解释说,他们会伪造欧洲国家大使馆的电子邮件发送到外交机构的特定人员手中,这些信件中都包含了一个会议或共同处理文件的邀请。
收件人接下来会被要求按照指示点击一个链接或下载一个PDF文件,以查看大使的日历或获得会议的相关信息。这两种行为都会将目标引向一个恶意的网站,该网站加载了威胁集团的 "签名脚本",报告称其为 "Envyscout"。
波兰官员补充说:"网页利用了HTML-smuggling技术,即当网页被打开时,放在网页上的恶意文件会被JavaScript解码,然后下载到受害者的设备上。这使得恶意文件在存储它的服务器端更难被发现。
恶意网站还通过其他消息通知受害者,他们已经下载了正确的文件。
SlashNext的首席执行官Patrick Harr说,当信件的内容写得非常有迷惑性,使用大量的个人信息来证明发件人对目标很熟悉,并且发信人看起来来源很合法时,鱼叉式网络钓鱼攻击就会非常容易成功,这么看起来,这个间谍活动符合所有的成功标准。
例如,有一封钓鱼邮件声称是来自波兰大使馆。波兰当局还注意到,在观察活动期间,Envyscout程序已经被修改了三次,并且使用了更好的混淆技术。
根据波兰的警报,该组织一旦被渗透,就会采用修改后的Snowyamber下载器、Halfrig(其中嵌入了Cobalt Strike代码)和Quarterrig(与Halfrig共享代码)。
鉴于这一点,各国政府、外交官、国际组织和非政府组织(NGO)应保持高度警惕。
伴随着波兰网络安全当局的警告,加拿大总理贾斯汀-特鲁多最近公开表示,最近有一波与俄罗斯有关的针对加拿大基础设施的网络攻击。这些攻击包括对电力公司Hydro-Québec、魁北克港和劳伦森银行的网站的拒绝服务攻击。据特鲁多说,加拿大对乌克兰的支持是遭受到网络攻击的一个重要因素。
虽然加拿大的基础设施没有受到破坏,但加拿大网络安全中心主任Sami Khoury在上周的新闻发布会上强调,威胁是实实在在存在的。你必须保护好你的系统,如果你在运行重要的系统,为我们的社区供电,为加拿大人提供互联网接入,提供医疗保健,或在运营任何加拿大人所不能离开的服务,一定要注意你的网络设施的安全,及时实施缓解措。
参考及来源:https://www.cysecurity.news/2023/04/russian-solarwinds-attackers-launch-new.html