Onderzoek Palo Alto Networks: Phishing campagne gericht op diplomatieke missies in Oekraïne door Russische dreigingsgroep Cloaked Ursa
Vandaag publiceert Unit 42, de onderzoeksgroep van Palo Alto Networks, een onderzoek over een campagne van de Russische Foreign Intelligence Service (SVR) gericht op diplomatieke missies in Oekraïne. Deze groep wordt door Unit 42 aangeduid als Cloaked Ursa (ook bekend als APT29).
De groep maakt gebruik van iets dat alle onlangs geplaatste diplomaten nodig hebben – een voertuig. De nieuwe campagne die Unit 42 onderzocht, maakte gebruik van een flyer voor de legitieme verkoop van een BMW aan diplomaten in Kiev (Oekraïne) als startpunt. De groep hergebruikte deze legitieme flyer, bewerkte de prijs om de te koop aangeboden auto goedkoper te maken en voegde schadelijke links toe om een schadelijke payload te downloaden met als doel spionage.
- Unit 42 observeerde dat Cloaked Ursa tijdens deze campagne minstens 22 van de meer dan 80 buitenlandse missies/landen in Kiev als doelwit had. Het werkelijke aantal is waarschijnlijk hoger.
- Dit is verbijsterend in omvang voor wat normaal gesproken nauw afgebakende en clandestiene advanced persistent threat (APT) operaties zijn.
- Wanneer de gebruiker op een link klikt om extra foto’s te bekijken van de te koop aangeboden BMW, worden ze door een verkorte URL service omgeleid naar een legitieme site die is overgenomen door Cloaked Ursa en wordt een schadelijke payload gedownload.
In de bijlage vind je ook een blog met daarin enkele details van een andere campagne die de aardbeving van februari 2023 in Turkije gebruikte als lokmiddel voor phishing om het Turkse ministerie van Buitenlandse Zaken aan te vallen rond februari/ maart.
Mocht je vragen hebben over het onderzoek of als je met iemand van Unit 42 hierover wilt spreken, laat het me vooral weten.
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.