Russische aanvallers richten zich op ambassades

Russische aanvallers maken gebruik van vertrouwde, legitieme cloudservices waaronder Google Drive om malware te hosten en leveren. Het gaat om aanvalscampagne van de Russische SVR's Cloaked Ursa (ook bekend als APT 29, Nobelium, Cozy Bear).

Hiervoor waarschuwt Palo Alto Networks Unit 42. De tactieken worden gebruikt om detectie te omzeilen en Cobalt Strike in te zetten, waarschijnlijk met het doel om informatie te stelen. Palo Alto Networks vermoedt dat campagne gericht is geweest op verschillende westerse diplomatieke missies tussen mei en juni 2022. Het gaat daarbij onder meer om aanvallen op buitenlandse ambassades in Portugal en Brazilië.

Agenda-invite als lokmiddel

Deze actieve campagne van Cloaked Ursa gebruikt een agenda-invite als lokmiddel voor een aanstaande meeting met een ambassadeur. In beide gevallen bevatten de phishing-documenten een link naar een kwaadaardig HTML-bestand (EnvyScout), dat diende als dropper voor aanvullende kwaadaardige bestanden in het doelnetwerk, waaronder een Cobalt Strike-payload.

Unit 42 publiceert dit onderzoek om de aandacht te vestigen op deze actieve campagne, zodat zowel organisaties als overheden alert kunnen zijn op deze tactieken van Cloaked Ursa - vooral omdat ze gebruikmaken van versleuteling die detectie kan omzeilen.

Meer informatie is hier beschikbaar.