Kolektif peretasan yang disponsori negara Rusia yang dikenal sebagai APT29 telah dikaitkan dengan kampanye phishing baru yang memanfaatkan layanan cloud yang sah seperti Google Drive dan Dropbox untuk mengirimkan muatan berbahaya pada sistem yang disusupi.
“Kampanye ini diyakini telah menargetkan beberapa misi diplomatik Barat antara Mei dan Juni 2022,” kata Unit 42 Jaringan Palo Alto dalam sebuah laporan Selasa. “Umpan yang termasuk dalam kampanye ini menyarankan penargetan kedutaan asing di Portugal serta kedutaan asing di Brasil.”
APT29, juga dilacak di bawah monikers Cozy Bear, Cloaked Ursa, atau The Dukes, telah dicirikan sebagai kelompok spionase siber terorganisir yang bekerja untuk mengumpulkan intelijen yang sejalan dengan tujuan strategis Rusia.
Beberapa aspek dari aktivitas ancaman persisten tingkat lanjut, termasuk serangan rantai pasokan SolarWinds yang terkenal pada tahun 2020, secara terpisah dilacak oleh Microsoft dengan nama Nobelium, dengan Mandiant menyebutnya sebagai aktor ancaman yang berkembang, disiplin, dan sangat terampil yang beroperasi dengan tingkat ancaman yang lebih tinggi. keamanan operasional.”
Intrusi terbaru adalah kelanjutan dari operasi rahasia yang sama yang sebelumnya dirinci oleh Mandiant dan Cluster25 pada Mei 2022, di mana email spear-phishing menyebabkan penyebaran Cobalt Strike Beacons melalui lampiran penetes HTML yang dijuluki EnvyScout (alias ROOTSAW) dilampirkan langsung ke surat.
Apa yang berubah dalam iterasi yang lebih baru adalah penggunaan layanan cloud seperti Dropbox dan Google Drive untuk menyembunyikan tindakan mereka dan mengambil malware tambahan ke lingkungan target. Versi kedua dari serangan yang diamati pada akhir Mei 2022 dikatakan telah beradaptasi lebih jauh untuk menjadi host penetes HTML di Dropbox.
“Kampanye dan muatan yang dianalisis dari waktu ke waktu menunjukkan fokus yang kuat pada operasi di bawah radar dan menurunkan tingkat deteksi,” Cluster25 mencatat pada saat itu. “Dalam hal ini, bahkan penggunaan layanan yang sah seperti Trello dan Dropbox menunjukkan keinginan musuh untuk beroperasi untuk waktu yang lama dalam lingkungan korban tetap tidak terdeteksi.”
EnvyScout, pada bagiannya, berfungsi sebagai alat bantu untuk menginfeksi target lebih lanjut dengan implan aktor pilihan, dalam hal ini, executable berbasis .NET yang disembunyikan di beberapa lapisan kebingungan dan digunakan untuk mengekstrak informasi sistem serta mengeksekusi binari tahap berikutnya seperti Cobalt Strike diambil dari Google Drive.
“Penggunaan layanan DropBox dan Google Drive […] adalah taktik baru untuk aktor ini dan salah satu yang terbukti menantang untuk dideteksi karena sifat layanan ini di mana-mana dan fakta bahwa mereka dipercaya oleh jutaan pelanggan di seluruh dunia,” kata para peneliti.
Temuan ini juga bertepatan dengan deklarasi baru dari Dewan Uni Eropa, menyerukan lonjakan aktivitas siber berbahaya yang dilakukan oleh aktor ancaman Rusia dan “mengutuk”.[ing] perilaku yang tidak dapat diterima ini di dunia maya.”
“Peningkatan aktivitas siber berbahaya ini, dalam konteks perang melawan Ukraina, menciptakan risiko yang tidak dapat diterima dari efek limpahan, salah tafsir dan kemungkinan eskalasi,” kata Dewan dalam sebuah pernyataan pers.