De aan Rusland gelieerde dreigingsactor, bekend als APT29, richtte zich op Europese diplomatieke missies en ministeries van Buitenlandse Zaken als onderdeel van een reeks spear-phishing-campagnes die in oktober en november 2021 werden opgezet.
Volgens ESET's T3 2021 dreigingsrapport gedeeld met The Hacker News, maakten de inbraken de weg vrij voor de inzet van Cobalt Strike Beacon op gecompromitteerde systemen, gevolgd door het gebruik van de voet aan de grond om extra malware te laten vallen voor het verzamelen van informatie over de hosts en andere machines in hetzelfde netwerk.
Ook gevolgd onder de namen The Dukes, Cosy Bear en Nobelium, is de geavanceerde persistente bedreigingsgroep een beruchte cyberspionagegroep die al meer dan een decennium actief is, met zijn aanvallen gericht op Europa en de VS, voordat het brede aandacht kreeg voor de toeleveringsketen compromis van SolarWinds, wat leidde tot verdere infecties in verschillende stroomafwaartse entiteiten, waaronder Amerikaanse overheidsinstanties in 2020.
De spear-phishing-aanvallen begonnen met een phishing-e-mail met COVID-19-thema die zich voordeed als het Iraanse ministerie van Buitenlandse Zaken en een HTML-bijlage bevat die, wanneer geopend, de ontvangers ertoe aanzet om te openen of op te slaan wat lijkt op een ISO-schijfkopiebestand (“ Covid.iso").
Mocht het slachtoffer ervoor kiezen om het bestand te openen of te downloaden', decodeert een klein stukje JavaScript het ISO-bestand, dat rechtstreeks in de HTML-bijlage is ingesloten.' Het schijfkopiebestand bevat op zijn beurt een HTML-toepassing die wordt uitgevoerd met mshta.exe om een stukje PowerShell-code uit te voeren die uiteindelijk de Cobalt Strike Beacon op het geïnfecteerde systeem laadt.
ESET karakteriseerde ook de afhankelijkheid van APT29 van HTML- en ISO-schijfimages (of VHDX-bestanden) als een ontwijkingstechniek die specifiek is georkestreerd om Mark of the Web te ontwijken (APK) beveiligingen, een beveiligingsfunctie die door Microsoft is geïntroduceerd om de oorsprong van een bestand te bepalen.
"Een ISO-schijfkopie verspreidt het zogenaamde Mark of the Web niet naar de bestanden in de schijfkopie", aldus de onderzoekers. "Als zodanig, en zelfs als de ISO van internet zou worden gedownload, zou er geen waarschuwing aan het slachtoffer worden getoond wanneer de HTA wordt geopend."
Nadat hij met succes de eerste toegang had verkregen, leverde de dreigingsactor een verscheidenheid aan kant-en-klare tools om de Active Directory van het doelwit te doorzoeken (AdvertentieZoeken), voer opdrachten uit op een externe machine met behulp van het SMB-protocol (Sharp-SMBExec), verkenningen uitvoeren (scherpe weergave), en zelfs een exploit voor een fout in de escalatie van Windows-privileges (CVE-2021-36934) om vervolgaanvallen uit te voeren.
"De afgelopen maanden hebben aangetoond dat The Dukes een serieuze bedreiging vormen voor westerse organisaties, vooral in de diplomatieke sector", merken de onderzoekers op. "Ze zijn erg vasthoudend, hebben een goede operationele beveiliging en weten hoe ze overtuigende phishing-berichten moeten creëren."
