Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Najprawdopodobniej rosyjska grupa APT celowała w polską firmę, dostarczającą sprzęt wojskowy.

07 stycznia 2023, 13:10 | W biegu | komentarzy 10

Mowa o grupie Cold River, która właśnie jest wskazywana w kontekście cyberataków na amerykańskich specjalistów z obszaru technologii atomowych.

Jak czytamy na blogu Sekoia:

Calisto [inna nazwa grupy Cold River – przyp. sekurak] focuses on Western countries, especially the United States, and Eastern European countries. The group was observed carrying out phishing campaigns aiming at credential theft, targeting military and strategic research sectors such as NATO entities and a Ukraine-based defense contractor, as well as NGOs and think tanks.

Grupa stosuje m.in. ciekawą technikę phishingu, przesyła PDFa, w którym wyświetlany jest błąd (grafika w PDFie), sugerujący kliknięcie zewnętrznego linka:

Dlaczego tak dziwnie? Ano dlatego aby ominąć ew. korporacyjne skanery poczty (podejrzany link w e-mailu, spowoduje oflagowanie całej wiadomości).

Co w linku? Strona phishingowa skłaniająca ofiarę do podania swoich danych logowania. Dodatkowo grupa próbuje omijać również 2FA, stosując narzędzie evilgnix (które jest w zasadzie lekko przerobionym serwerem proxy)

Firmy, w które celowane były ataki (nie ma potwierdzenia, że zostały one zainfekowane):

Most of the targeted private organizations are involved in military equipmentmilitary logistics or humanitarian support for Ukraine:

  • UMO, Polish company, military equipment (high confidence);
  • Emcompass, Ukrainian company, military logistic (high confidence);
  • DTGruelle, US company, logistics (high confidence);
  • Global Ordnance, US company, military and tactical equipment (high confidence);
  • BotGuard, Estonian company, cybersecurity (medium confidence);
  • Blue Sky Network, US company, satellite communications (high confidence).

Tutaj zobaczcie domeny, które były użyte przez atakujących:

Jak można by się przed czymś takim ochronić? Edukacja pracowników, ale również używanie sprzętowych kluczy 2FA jeśli chodzi o dostęp do krytycznych systemów (evilginx nie ma możliwości ominięcia tego typu 2FA).

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. wk

    Imo, obok edukacji ważne jest, żeby pracownik mógł łatwo i szybko zasięgnąć opinii kogoś z odpowiednią wiedzą. Nagradzać za zapytanie do technicznych w sprawie nietypowego maila albo strony.
    I systemy zabezpieczające, poprawnie skonfigurowane a właściwie na bieżąco podkonfigurowywane. To nie są tanie rzeczy, ale jak się jest firmą zbrojeniową, to ma się od czego odliczać koszty.

    Odpowiedz
    • John Sharkrat

      Raczej nie ma z czego odliczać kosztów, bo to państwowe firmy z Rodziną na Swoim ++. Wszystkie są deficytowe i istnieją tylko dzięki dotacjom państwowy.

      Odpowiedz
      • wk

        Cholera, @John Sharkrat, masz rację, a ja notorycznie zapominam w jakim kraju żyję

        Odpowiedz
  2. Borsuk

    To dość zabawne ze ruscy hackerzy nazywają samych siebie angielskimi nazwami jak „Cold river”. Moim skromnym zdaniem powinni nazywać się po rosyjsku, jak przystało na specjalistów pracujących dla ruskiego rządu. Np „ druzja dieda Putina”

    Odpowiedz

Odpowiedz