Russische cyberaanvallers lokken diplomaten met ‘Audi te koop’
Unit 42, de onderzoeksgroep van Palo Alto Networks, heeft een nieuw rapport gepubliceerd over een aanvalsplan dat wordt toegeschreven aan Russische cyberaanvallers die in verband worden gebracht met Fighting Ursa (ook bekend als APT 28). Unit 42 ontdekte dat deze groep specifiek een Audi Q7 Quattro SUV te koop aanbood als phishing lokmiddel om de "HeadLace backdoor"-malware te verspreiden onder diplomaten sinds maart 2024. Deze groep wordt geassocieerd met de Russische militaire inlichtingendienst en geclassificeerd als een geavanceerde aanhoudende bedreiging (APT).
Bestrijding van Ursa: een groep die succesvolle tactieken voor cyberaanvallen hergebruikt
Het ‘diplomatieke-auto-te-koop’-fishingthema wordt al jaren gebruikt door Russische cyberaanvallers. Deze lokmiddelen slaan aan bij diplomaten en zorgen ervoor dat doelwitten op de schadelijke inhoud klikken. Unit 42 heeft eerder gezien dat bedreigers deze tactiek gebruikten. In 2023 hergebruikte een andere Russische groep cyberaanvallers, Cloaked Ursa, bijvoorbeeld een advertentie met een te koop staande BMW met als doelwit diplomatieke missies in Oekraïne. De Fighting Ursa-groep staat bekend om het hergebruiken van succesvolle tactieken - zelfs nog het exploiteren van bekende kwetsbaarheden gedurende 20 maanden nadat hun dekmantel al was opgeblazen
De details van de campagne van maart 2024, die Unit 42 met een gemiddeld tot hoog betrouwbaarheidsniveau toeschrijft aan Fighting Ursa, geven aan dat de groep zich richtte op diplomaten en gebruikmaakte van openbare en gratis diensten om verschillende stadia van de aanval te hosten.
HeadLace: een malware die inloggegevens verzamelt en exfiltreert
Unit 42 houdt Russische bedreigingen voortdurend in de gaten, zelfs al voor de invasie - en dit is de reden waarom ze deze activiteit hebben ontdekt en de analyse hebben uitgevoerd. HeadLace is een modulaire malware, wat betekent dat verschillende stadia van de handelingen die de malware uitvoert, aan elkaar worden gekoppeld vanuit gedownloade zip-bestanden en/of externe website-downloads. Deze stadia zijn waargenomen bij gratis code-hostingsites zoals Mockbin, Webhook en Infinityfree. Volgens brancheverslagen is het doel van deze malware om inloggegevens van het gecompromitteerde systeem te verzamelen en te exfiltreren. Deze inloggegevens worden later waarschijnlijk gebruikt voor toegang en/of laterale beweging
Met Fighting Ursa, die legitieme webdiensten zal blijven gebruiken in hun aanvalsinfrastructuur, zullen beveiligers de toegang tot deze of soortgelijke hostingdiensten waar nodig moeten beperken. Indien mogelijk moeten organisaties het gebruik van deze gratis diensten zorgvuldig onderzoeken om mogelijke bedreigingen te identificeren.