Unit 42, de onderzoeksgroep van Palo Alto Networks, heeft een nieuw rapport gepubliceerd over een aanvalsplan dat wordt toegeschreven aan Russische cyberaanvallers die in verband worden gebracht met Fighting Ursa (ook bekend als APT 28). Unit 42 ontdekte dat deze groep specifiek een Audi Q7 Quattro SUV te koop aanbood als phishing lokmiddel om de "HeadLace backdoor"-malware te verspreiden onder diplomaten sinds maart 2024. Deze groep wordt geassocieerd met de Russische militaire inlichtingendienst en geclassificeerd als een geavanceerde aanhoudende bedreiging (APT).
Bestrijding van Ursa: een groep die succesvolle tactieken voor cyberaanvallen hergebruikt
Het ‘diplomatieke-auto-te-koop’-fishingthema wordt al jaren gebruikt door Russische cyberaanvallers. Deze lokmiddelen slaan aan bij diplomaten en zorgen ervoor dat doelwitten op de schadelijke inhoud klikken. Unit 42 heeft eerder gezien dat bedreigers deze tactiek gebruikten. In 2023 hergebruikte een andere Russische groep cyberaanvallers, Cloaked Ursa, bijvoorbeeld een advertentie met een te koop staande BMW met als doelwit diplomatieke missies in Oekraïne. De Fighting Ursa-groep staat bekend om het hergebruiken van succesvolle tactieken - zelfs nog het exploiteren van bekende kwetsbaarheden gedurende 20 maanden nadat hun dekmantel al was opgeblazen
De details van de campagne van maart 2024, die Unit 42 met een gemiddeld tot hoog betrouwbaarheidsniveau toeschrijft aan Fighting Ursa, geven aan dat de groep zich richtte op diplomaten en gebruikmaakte van openbare en gratis diensten om verschillende stadia van de aanval te hosten.
HeadLace: een malware die inloggegevens verzamelt en exfiltreert
Unit 42 houdt Russische bedreigingen voortdurend in de gaten, zelfs al voor de invasie - en dit is de reden waarom ze deze activiteit hebben ontdekt en de analyse hebben uitgevoerd. HeadLace is een modulaire malware, wat betekent dat verschillende stadia van de handelingen die de malware uitvoert, aan elkaar worden gekoppeld vanuit gedownloade zip-bestanden en/of externe website-downloads. Deze stadia zijn waargenomen bij gratis code-hostingsites zoals Mockbin, Webhook en Infinityfree. Volgens brancheverslagen is het doel van deze malware om inloggegevens van het gecompromitteerde systeem te verzamelen en te exfiltreren. Deze inloggegevens worden later waarschijnlijk gebruikt voor toegang en/of laterale beweging.
Met Fighting Ursa, die legitieme webdiensten zal blijven gebruiken in hun aanvalsinfrastructuur, zullen beveiligers de toegang tot deze of soortgelijke hostingdiensten waar nodig moeten beperken. Indien mogelijk moeten organisaties het gebruik van deze gratis diensten zorgvuldig onderzoeken om mogelijke bedreigingen te identificeren.
Over Palo Alto Networks
Palo Alto Networks is de wereldwijde leider op het gebied van cybersecurity. Wij innoveren om cyberbedreigingen voor te zijn zodat organisaties technologie met vertrouwen kunnen omarmen. Wij bieden next-gen cyberbeveiliging aan duizenden klanten wereldwijd in alle sectoren. Onze best-in-class cybersecurity platforms en diensten worden ondersteund door toonaangevende threat intelligence en versterkt door state-of-the-art automatisering. Of het nu gaat om het inzetten van onze producten om de Zero Trust Enterprise mogelijk te maken, het reageren op een beveiligingsincident of samen te werken om betere beveiligingsresultaten te behalen via een optimaal partner-ecosysteem, we zetten ons in om ervoor te zorgen dat elke dag veiliger is dan de vorige. Dat maakt ons de partner bij uitstek voor cybersecurity.
Bij Palo Alto Networks zetten we ons in om de beste mensen samen te brengen ter ondersteuning van onze missie. Daarom zijn we trots om de favoriete werkplek op het gebied van cybersecurity te zijn, erkend als een van Newsweek's Most Loved Workplaces (2023, 2022, 2021), met een score van 100 op de Disability Equality Index (2023, 2022), en HRC Best Places for LGBTQ Equality (2022). Ga voor meer informatie naar
www.paloaltonetworks.com.
Palo Alto Networks, Prisma, Unit 42, and the Palo Alto Networks logo are registered trademarks
of Palo Alto Networks, Inc. in the United States and in jurisdictions throughout the world. All other trademarks, trade names, or service marks used or mentioned herein belong to their respective owners. Any unreleased services or features (and any services or features not generally available to customers) referenced in this or other press releases or public statements are not currently available (or are not yet generally available to customers) and may not be delivered when expected or at all. Customers who purchase Palo Alto Networks applications should make their purchase decisions based on services and features currently generally available.