Az ESET biztonsági szolgáltató kutatói feltárták egy kétágú, hibrid háborús kibertámadást, amely pszichooperációs és hitelesítési adatok ellopását célzó kampányokat foglal magában, Ukrajna polgárai és vállalkozásai ellen.
Kutatók Felfedik Az Oroszokkal Összhangban Álló Pszichooperációs Kampányt, Az ‘Operáció Texonto’
Az ESET biztonsági szolgáltató kutatói megerősítették, hogy felfedeztek egy kiberpszichooperációs kampányt, amelyet ‘Operáció Texonto’ néven azonosítottak, miután elemeztek két hullámnyi pszichooperációs üzenetet, amelyeket 2023 novemberében és decemberében küldtek. A tartalmak tipikus orosz propagandatémák köré épültek, mint például a gyógyszer- és élelmiszerhiány, valamint az ukrán polgárok fűtésének megszakítása. A cél úgy tűnik, hogy az ukrán polgárokat meggyőzzék, Oroszország nyeri a háborút.
A háborúval kapcsolatos dezinformációt spam e-mailek útján terjesztették. Októberben a kutatók egy lándzsás phishing kampányt is láttak, amely az ukrán szervezeteket, beleértve egy védelmi vállalatot, és az EU ügynökségeit célozta meg. Ennek célja a Microsoft Office 365 fiókok bejelentkezési adatainak ellopása volt. Az ESET szerint “a PSYOPs és a phishing műveletekben használt hálózati infrastruktúra hasonlóságai miatt” nagy biztonsággal állítható, hogy ezek összekapcsolódnak.
Az Operáció Texontót Magas Biztonsággal Oroszbarát Műveletekhez Tulajdonítják
Az Operáció Texonto-t, amelyet az ESET Kutatás “magas biztonsággal egy Oroszországgal összhangban álló csoportnak” tulajdonít, úgy tűnik, hogy hasonlít az előző műveletekre, amelyeket egy Oroszországgal összhangban álló fejlett tartós fenyegetéscsoport, a Callisto hajtott végre. Azonban az ezen legújabb kibertámadások felfedezéséért felelős ESET kutató, Matthieu Faou szerint technikai átfedés hiányában “jelenleg nem tulajdonítjuk az Operáció Texonto-t egy konkrét fenyegetési szereplőnek.”
Faou szerint az ESET az utóbbi hónapokban növekedést látott a kiberkémkedési műveletekben. “A kémkedés, információs műveletek és hamis gyógyszertár üzenetek furcsa keveréke,” mondja Faou, “csak emlékeztetni tud minket a Callistóra, egy jól ismert Oroszországgal összhangban álló kiberkémkedési csoportra, amelynek néhány tagja az Egyesült Államok Igazságügyi Minisztériumának 2023 decemberében kelt vádiratának tárgya volt.”
A hamis gyógyszertár üzenetek aspektusa érdekes, mivel ugyanazt az e-mail szervert, amelyet a támadók a pszichooperációs üzenetek küldésére használtak, két héttel később kanadai gyógyszertár spam küldésére is használták. A bűnözési és politikai tevékenységek közötti határvonalak elmosódása korántsem szokatlan, különösen Oroszországban, mint országban.
Galamb Risottót Ajánl a Dezinformációs Kampány az Ukránoknak
Úgy tűnik, nem tartalmazott semmilyen malware-t vagy rosszindulatú linket az első hullámnyi e-mail. “Egy olyan domain, amely az Ukrán Agrárpolitikai és Élelmezésügyi Minisztériumnak adta ki magát, azt javasolta, hogy a nem elérhető gyógyszereket helyettesítsék gyógynövényekkel,” mondja Faou, egy másik pedig azt javasolta, hogy “fogyasszanak galamb risottót”, beleértve “egy élő galamb és egy sült galamb fotóját.” Az ESET szerint a második hullám sötétebb volt, üzenetekkel, amelyek “arról tanácsoltak az embereknek, hogy amputáljanak egy lábat vagy egy karjukat, hogy elkerüljék a katonai bevetést.”
META Jelentéseket Adott ki Orosz Eredetű Befolyásolási Kampányok Sikeres Leállításáról
A legújabb META Adversarial Threat Report is beszámol az Ukrajnában a háború kezdete óta zajló orosz befolyásolási kampányokról. “Csapataink továbbra is magas készültségben maradnak, hogy figyeljék az e háborúval kapcsolatos ellenséges változásokat,” mondja a jelentés, “mivel Ukrajna vagy az Ukrajnával kapcsolatos kérdések maradnak a legnagyobb fókuszban az orosz eredetű befolyásolási műveletekben.” A META azt jelenti, hogy az orosz állami média által közzétett posztok mennyisége 55%-kal, az elkötelezettségi szintek pedig 94%-kal csökkentek a háború előtti szintekhez képest, mióta megkezdődtek az érvényesítési intézkedések. “A rejtett befolyásolási műveletek esetében, 2022 óta kevesebb kísérletet láttunk bonyolult csaló személyiségek felépítésére a vékonyan leplezett, rövid életű hamis fiókok javára egy internetes spamelési kísérletben, abban reménykedve, hogy valami megmarad.” A META jelentése szerint 2024-ben is folytatódni fog a spam kampányok, amelyek “nagy mennyiségű fiókot vetnek be számos internetes szolgáltatáson és weboldalon” keresztül.
Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.
Az átverés
A közösségi média, különösen a Facebook, már régóta kulcsszerepet tölt be a reklámszakmában. A marketingügynökségek rendszeresen használják ezeket a platformokat, gyakran összekapcsolva a hirdetéseiket vállalati bankkártyákkal. Így nem meglepő, hogy adathalászok éppen ezeket a cégeket célozzák meg, ügyfeleknek álcázva magukat.
Nyáron a csalók egy magyar ügynökséget is célba vettek, több létező ruhamárka nevében jelentkezve. Kommunikációs kampányhoz keresnek partnerként egy valódi ügynökséget, és információs anyagokat küldtek, részben e-mailben, részben az ügynökség online felületén keresztül. A gyanús jel az volt, hogy a céges domain nem szerepelt a levelezésben. Például az “O My Bag” nevű holland táskagyártó nevében érkező megkeresés nem a cég hivatalos címéről, hanem egy Gmail-es fiókról jött, és az anyagokat a OneDrive-ra töltötték fel. Mivel ezek ismert és gyakran használt szolgáltatások, az ügynökségi munkatárs nem gyanakodott.
A gyanút kiváltó jelenségek ellenére a csalók hitelesnek tűnő levelet küldtek, és a OneDrive-ra feltöltött, Zip formátumú fájlok pontosan azt tartalmazták, amit egy potenciális ügyfél küldene egy ügynökségnek. A legtöbb víruskereső program a .zip fájlok kicsomagolásakor figyeli a kártékony szoftverek jelenlétét, azonban a jelszóval védett állományok esetében ezek a programok hatástalanok. A csalók pont ilyen fájlt küldtek, amely 11-ből 10 ártalmatlan médiafájlt és egy .scr kiterjesztésű malware-t tartalmazott. Az ügynökségi munkatárs rákattintott a fájlra, amelynek látszólag semmi hatása nem volt, ám a háttérben a kártevő már aktiválódott.
A betörés
A malware első lépése egy indítófájl létrehozása volt a Windows rendszerben, hogy minden rendszerindításkor aktiválódjon. A kártevő a böngészőben tárolt session tokenekre összpontosított, amelyek lehetővé tették számára a Facebookra és más közösségi oldalakhoz való hozzáférést. Ezenkívül az ügynökségi dolgozó minden böngészőműveletét megfigyelte, beleértve a Facebookra való bejelentkezést is.
Amint a csalók hozzájutottak a munkatárs Facebook-fiókjának adataihoz, megszerezték a hirdetéskezelési felület hozzáférési jogosultságait is. A legtöbb marketingügynökségnél, ahogy ebben az esetben is, a Facebook-fiókhoz társított bankkártyák adatai és egyéb érzékeny információk is hozzáférhetővé váltak. Az adathalászok így saját, illegális hirdetéseket indíthattak a magyar ügynökség fiókjából, anélkül, hogy az ügynökség vagy a Facebook észrevette volna. Ez több ezer eurós kárt okozott, mivel a Facebook automatikusan felszámította az ügynökséghez társított bankkártya költségeit.
A megoldás
A G Data szakértője szerint a legfontosabb óvintézkedés az alapos figyelem és a kritikus gondolkodás. A kétlépcsős hitelesítés valóban segíthet a bejelentkezési adatok illegális felhasználásának megakadályozásában, de ha a felhasználó már egy malware által fertőzött gépet használ, akkor ez sem jelent teljes biztonságot. A jelszavas fájlok kicsomagolásánál mindig legyünk óvatosak, különösen, ha nem ismerjük azok eredetét. A legjobb védekezés a gyanús e-mailek és fájlok azonnali törlése, valamint egy megbízható víruskereső program használata.
A következmények
A magyar marketingügynökség esete nem egyedi. Az internetes csalások száma világszerte növekszik, különösen a távmunka és a digitális kommunikáció terjedése miatt. A vállalatok és az egyének egyaránt célpontok lehetnek. A legjobb védelem a folyamatos tájékozódás, az óvatosság és a modern kiberbiztonsági megoldások alkalmazása. Minden internetezőnek tudatában kell lennie annak, hogy a digitális világban semmi sem biztonságos, és mindig ébernek kell lennie az új fenyegetésekkel szemben.
Forrás: telex.hu
Biztonsági figyelmeztetés a felhőben: orosz hackerek Microsoft Teams segítségével adathalászatot végeznek
A Microsoft szerint egy az orosz kormányhoz köthető hackercsoport a Microsoft Teams csevegő alkalmazást használja adathalászati célokra különböző szervezeteknél.
Microsoft Jelentés
A szoftvercég, Microsoft, szerda hajnalban adott ki közleményt egy orosz kormánnyal kapcsolatban álló, ismert hackercsoport tevékenységéről, amely a Microsoft Teams alkalmazást használja felhasználói adatok lopására.
A redmondi Fenyegetések Intelligencia Csapat kutatási jelentése szerint a hackercsoport az orosz Külügyi Hírszerző Szolgálatához (SVR-ként is ismert) köthető. A csoportot kormányzati és civil szervezetek, IT szolgáltatók, technológiai vállalatok, gyártók és médiaházak elleni támadásokkal vádolják.
Éjféli Hóvihar Támadásai
A Microsoft ezt a csoportot ‘Éjféli Hóvihar’ (korábban Nobelium néven ismert) néven azonosította, és figyelmeztetett arra, hogy a csoport már fertőzött Microsoft 365 felhasználói fiókokat használ kisvállalkozásoktól új domainek létrehozására, amelyek technikai támogató entitásoknak látszanak.
Ezen domainekkel a kutatók a Microsoft Teams üzeneteit használták felhasználói adatok lopására, amelyek a felhasználók interakcióját és többlépéses hitelesítési folyamatokat (MFA) céloztak meg.
A vállalat azt állítja, hogy a támadásokat kevesebb mint 40 globális szervezetnél azonosították, ami arra utal, hogy ez USA-ban és Európában egy célzott, precíz kiberkémkedési akcióról van szó.
További Részletek a Támadásról
A Microsoft kutatói a legújabb adathalász támadások technikai dokumentációját is elkészítették, amely a csalétek céljából használt biztonsági domainnevekre vonatkozik.
“A támadások megkönnyítése érdekében a csoport korábban megfertőzött kisvállalkozások Microsoft 365 fiókjait használta. A csoport átnevezi a fertőzött fiókot, hozzáad egy új ‘onmicrosoft.com’ aldomaint, és létrehoz egy új felhasználót ezen a domainen, amelyről üzenetet küld a célpont fiókhoz.”
Ha a támadás sikeres, a támadók hozzáférnek a célpont Microsoft 365 fiókjához és a kapcsolódó szolgáltatásokhoz, és befejezik a hitelesítési folyamatot.
Amikor a támadás megtörténik, a támadók eltulajdoníthatják a felhasználói információkat, és hozzáférhetnek más Microsoft 365 szolgáltatásokhoz, mint például az Azure.
Védelem és Utóhatások
A Microsoft azt állítja, hogy észlelte a támadás utáni tevékenységeket és az információk eltulajdonítását. Bizonyos esetekben az aktor megpróbált hozzáadni eszközöket a szervezethez, amelyeket a Microsoft Entra ID kezel. Ez a támadó számára lehetővé teszi, hogy megkerülje azokat a feltételes hozzáférési szabályokat, amelyek csak kezelt eszközökkel működnek.
A Microsoft folyamatosan dolgozik azon, hogy felismerje és blokkolja ezen támadási vektorokat, és azt javasolja a felhasználóknak, hogy legyenek óvatosak minden ismeretlen forrásból érkező üzenettel és felszólítással kapcsolatban.
Forrás: www.securityweek.com
Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.