Russische APT29 hackers gebruiken DropBox en Google Drive om diplomatieke missies en ambassades aan te vallen

wo, 20/07/2022 - 12:37

Door: Redactie WINMAG Pro

Palo Alto Networks Unit 42 heeft een blog post gepubliceerd die inzicht biedt in een actieve campagne van de Russische SVR's Cloaked Ursa (ook bekend als APT 29, Nobelium, Cozy Bear) die gebruik maakt van vertrouwde, legitieme cloudservices waaronder Google Drive om malware te hosten en leveren.

Deze tactieken worden gebruikt om detectie te omzeilen en Cobalt Strike in te zetten, waarschijnlijk met het doel om informatie te stelen. Deze campagne is vermoedelijk gericht geweest op verschillende westerse diplomatieke missies tussen mei en juni 2022 - inclusief het aanvallen van buitenlandse ambassades in Portugal en Brazilië.

Deze actieve campagne van Cloaked Ursa gebruikt een agenda-invite als lokmiddel voor een aanstaande meeting met een ambassadeur. In beide gevallen bevatten de phishing-documenten een link naar een kwaadaardig HTML-bestand (EnvyScout), dat diende als dropper voor aanvullende kwaadaardige bestanden in het doelnetwerk, waaronder een Cobalt Strike-payload.

Unit 42 publiceert dit onderzoek om de aandacht te vestigen op deze actieve campagne, zodat zowel organisaties als overheden alert kunnen zijn op deze tactieken van Cloaked Ursa - vooral omdat ze gebruikmaken van versleuteling die detectie kan omzeilen.

Hier vind je het blog en meer informatie.