Russische cyberaanvallers lokken diplomaten met ‘Audi te koop’

Nieuws
Redactie WINMAG Pro

Unit 42, de onderzoeksgroep van Palo Alto Networks, heeft een nieuw rapport gepubliceerd over een aanvalsplan dat wordt toegeschreven aan Russische cyberaanvallers die in verband worden gebracht met Fighting Ursa (ook bekend als APT 28). Unit 42 ontdekte dat deze groep specifiek een Audi Q7 Quattro SUV te koop aanbood als phishing lokmiddel om de "HeadLace backdoor"-malware te verspreiden onder diplomaten sinds maart 2024. Deze groep wordt geassocieerd met de Russische militaire inlichtingendienst en geclassificeerd als een geavanceerde aanhoudende bedreiging (APT).

Bestrijding van Ursa: een groep die succesvolle tactieken voor cyberaanvallen hergebruikt

Het ‘diplomatieke-auto-te-koop’-fishingthema wordt al jaren gebruikt door Russische cyberaanvallers. Deze lokmiddelen slaan aan bij diplomaten en zorgen ervoor dat doelwitten op de schadelijke inhoud klikken. Unit 42 heeft eerder gezien dat bedreigers deze tactiek gebruikten. In 2023 hergebruikte een andere Russische groep cyberaanvallers, Cloaked Ursa, bijvoorbeeld een advertentie met een te koop staande BMW met als doelwit diplomatieke missies in Oekraïne. De Fighting Ursa-groep staat bekend om het hergebruiken van succesvolle tactieken - zelfs nog het exploiteren van bekende kwetsbaarheden gedurende 20 maanden nadat hun dekmantel al was opgeblazen

De details van de campagne van maart 2024, die Unit 42 met een gemiddeld tot hoog betrouwbaarheidsniveau toeschrijft aan Fighting Ursa, geven aan dat de groep zich richtte op diplomaten en gebruikmaakte van openbare en gratis diensten om verschillende stadia van de aanval te hosten. 

HeadLace: een malware die inloggegevens verzamelt en exfiltreert

Unit 42 houdt Russische bedreigingen voortdurend in de gaten, zelfs al voor de invasie - en dit is de reden waarom ze deze activiteit hebben ontdekt en de analyse hebben uitgevoerd. HeadLace is een modulaire malware, wat betekent dat verschillende stadia van de handelingen die de malware uitvoert, aan elkaar worden gekoppeld vanuit gedownloade zip-bestanden en/of externe website-downloads. Deze stadia zijn waargenomen bij gratis code-hostingsites zoals Mockbin, Webhook en Infinityfree. Volgens brancheverslagen is het doel van deze malware om inloggegevens van het gecompromitteerde systeem te verzamelen en te exfiltreren. Deze inloggegevens worden later waarschijnlijk gebruikt voor toegang en/of laterale beweging

Met Fighting Ursa, die legitieme webdiensten zal blijven gebruiken in hun aanvalsinfrastructuur, zullen beveiligers de toegang tot deze of soortgelijke hostingdiensten waar nodig moeten beperken. Indien mogelijk moeten organisaties het gebruik van deze gratis diensten zorgvuldig onderzoeken om mogelijke bedreigingen te identificeren.

Lees meer

Het aantal cyberaanvallen met 30% toegenomen
Het aantal cyberaanvallen met 30% toegenomen
Stijging van cybercrime in de reis en horecabranche
Stijging van cybercrime in de reis en horecabranche
Nederlandse bedrijven kennen de risico’s van AI-aangedreven cyberaanvallen, maar zijn er nog onvoldoende op voorbereid
Nederlandse bedrijven kennen de risico’s van AI-aangedreven cyberaanvallen, maar zijn er nog onvoldoende op voorbereid
Meer dan de helft van de cyberaanvallen in Europa richt zich op de gezondheidszorg
Meer dan de helft van de cyberaanvallen in Europa richt zich op de gezondheidszorg
Zero trust security: De nieuwe standaard
Zero trust security: De nieuwe standaard
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie