Tác nhân đe dọa liên kết với Nga được gọi là APT29 đã nhắm mục tiêu vào các cơ quan ngoại giao châu Âu và Bộ Ngoại giao như một phần của chuỗi chiến dịch lừa đảo trực tuyến được thực hiện vào tháng 2021 và tháng XNUMX năm XNUMX.
Theo ESET Báo cáo Đe doạ T3 2021 chia sẻ với The Hacker News, các cuộc xâm nhập đã mở đường cho việc triển khai Cobalt Strike Beacon trên các hệ thống bị xâm nhập, sau đó tận dụng chỗ đứng để thả thêm phần mềm độc hại nhằm thu thập thông tin về máy chủ và các máy khác trong cùng mạng.
Cũng được theo dõi dưới tên The Dukes, Cosy Bear và Nobelium, nhóm đe dọa dai dẳng nâng cao là một nhóm gián điệp mạng khét tiếng đã hoạt động trong hơn một thập kỷ, với các cuộc tấn công nhắm vào Châu Âu và Hoa Kỳ, trước khi thu hút được sự chú ý rộng rãi. cho thỏa hiệp chuỗi cung ứng của SolarWinds, dẫn đến lây nhiễm thêm ở một số thực thể hạ nguồn, bao gồm cả các cơ quan chính phủ Hoa Kỳ vào năm 2020.
Các cuộc tấn công lừa đảo bắt đầu bằng một email lừa đảo có chủ đề COVID-19 mạo danh Bộ Ngoại giao Iran và chứa tệp đính kèm HTML mà khi mở ra sẽ nhắc người nhận mở hoặc lưu những gì có vẻ là tệp ảnh đĩa ISO (“ Covid.iso”).
Nếu nạn nhân chọn mở hoặc tải xuống tệp,” một đoạn mã JavaScript nhỏ sẽ giải mã tệp ISO, tệp này được nhúng trực tiếp vào tệp đính kèm HTML.” Ngược lại, tệp ảnh đĩa bao gồm một ứng dụng HTML được thực thi bằng cách sử dụng mshta.exe để chạy một đoạn mã PowerShell nhằm tải Cobalt Strike Beacon vào hệ thống bị nhiễm.
ESET cũng mô tả sự phụ thuộc của APT29 vào hình ảnh đĩa HTML và ISO (hoặc tệp VHDX) như một kỹ thuật trốn tránh được dàn dựng cụ thể để trốn tránh Mark of the Web (MOTW) bảo vệ, một tính năng bảo mật được Microsoft giới thiệu để xác định nguồn gốc của tệp.
Các nhà nghiên cứu cho biết: “Hình ảnh đĩa ISO không truyền cái gọi là Mark of the Web tới các tệp bên trong ảnh đĩa”. “Như vậy, và ngay cả khi ISO được tải xuống từ internet, sẽ không có cảnh báo nào được hiển thị cho nạn nhân khi HTA được mở.”
Sau khi giành được quyền truy cập ban đầu thành công, kẻ đe dọa đã cung cấp nhiều công cụ có sẵn để truy vấn Active Directory của mục tiêu (Tìm quảng cáo), thực thi các lệnh trên máy từ xa bằng giao thức SMB (Sharp-SMBExec), tiến hành trinh sát (SharpView) và thậm chí là một cách khai thác lỗ hổng leo thang đặc quyền của Windows (CVE-2021-36934) để thực hiện các cuộc tấn công tiếp theo.
Các nhà nghiên cứu lưu ý: “Những tháng gần đây cho thấy Công tước là mối đe dọa nghiêm trọng đối với các tổ chức phương Tây, đặc biệt là trong lĩnh vực ngoại giao”. “Họ rất kiên trì, có bảo mật hoạt động tốt và biết cách tạo ra các tin nhắn lừa đảo thuyết phục.”
