تم ربط التهديد المستمر المتقدم المعروف باسم Winter Vivern بحملات تستهدف المسؤولين الحكوميين في الهند وليتوانيا وسلوفاكيا والفاتيكان منذ عام 2021.
وقال SentinelOne في تقرير مشترك مع The Hacker News إن النشاط استهدف الوكالات الحكومية البولندية ووزارة الخارجية الأوكرانية ووزارة الخارجية الإيطالية والأفراد داخل الحكومة الهندية.
قال كبير الباحثين في مجال التهديد توم هيجل: "من الأمور ذات الأهمية الخاصة استهداف APT للشركات الخاصة ، بما في ذلك منظمات الاتصالات السلكية واللاسلكية التي تدعم أوكرانيا في الحرب المستمرة" .
لفت وينتر فيفيرن ، الذي تم تتبعه أيضًا باسم UAC-0114 ، الانتباه الشهر الماضي بعد أن قام فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا (CERT-UA) بتفصيل حملة برمجيات خبيثة جديدة تستهدف سلطات الدولة في أوكرانيا وبولندا لتقديم قطعة من البرامج الضارة يطلق عليها اسم Aperetif.
تظهر التقارير العامة السابقة التي تؤرخ للمجموعة أنها استفادت من مستندات Microsoft Excel المسلحة التي تحتوي على وحدات ماكرو XLM لنشر غرسات PowerShell على المضيفين المخترقين.
في حين أن أصول الجهة المهددة غير معروفة ، تشير أنماط الهجوم إلى أن المجموعة تتماشى مع الأهداف التي تدعم مصالح حكومتي روسيا البيضاء وروسيا.
استخدم UAC-0114 مجموعة متنوعة من الأساليب ، بدءًا من مواقع التصيد الاحتيالي إلى المستندات الضارة ، المصممة خصيصًا للمؤسسة المستهدفة لتوزيع حمولاتها المخصصة والحصول على وصول غير مصرح به إلى الأنظمة الحساسة.
في إحدى مجموعات الهجمات التي لوحظت في منتصف عام 2022 ، أنشأ Winter Vivern صفحات ويب للتصيد الاحتيالي لبيانات الاعتماد لجذب مستخدمي خدمة البريد الإلكتروني الشرعية التابعة للحكومة الهندية email.gov [.] in.
تتضمن سلاسل الهجوم النموذجية استخدام البرامج النصية المجمعة التي تتنكر في شكل ماسحات ضوئية للفيروسات لبدء نشر Aperetif trojan من البنية التحتية التي يتحكم فيها الممثل مثل مواقع WordPress المعرضة للخطر.
Aperetif ، برنامج ضار يعتمد على Visual C ++ ، يأتي مع ميزات لجمع بيانات الضحايا ، والحفاظ على الوصول إلى الباب الخلفي ، واسترداد الحمولات الإضافية من خادم القيادة والتحكم (C2).
قال هيجل: "إن مجموعة Winter Vivern APT محدودة الموارد ولكنها مبدعة للغاية تظهر ضبط النفس في نطاق هجماتها".
"إن قدرتهم على جذب الأهداف إلى الهجمات ، واستهدافهم للحكومات والشركات الخاصة عالية القيمة يظهر مستوى التطور والنية الإستراتيجية في عملياتهم."
في حين أن Winter Vivern قد يكون قد نجح في التهرب من أعين الجمهور لفترات طويلة من الوقت ، فإن مجموعة واحدة ليست قلقة للغاية بشأن البقاء تحت الرادار هي مجموعة Nobelium ، التي تشترك في تداخل مع APT29 (المعروف أيضًا باسم BlueBravo أو Cozy Bear أو The Dukes).
استمرت مجموعة الدول القومية المدعومة من الكرملين ، والمشهورة بتسوية سلسلة التوريد SolarWinds في ديسمبر 2020 ، في تطوير مجموعة أدواتها ، وتطوير برامج ضارة مخصصة جديدة مثل MagicWeb و GraphicalNeutrino .
كما نُسبت إلى حملة تصيد أخرى موجهة ضد الكيانات الدبلوماسية في الاتحاد الأوروبي ، مع التركيز بشكل خاص على الوكالات التي "تساعد المواطنين الأوكرانيين الفارين من البلاد ، وتقدم المساعدة لحكومة أوكرانيا".
قال بلاك بيري: "نوبليوم يجمع بنشاط معلومات استخباراتية حول الدول التي تدعم أوكرانيا في الحرب الروسية الأوكرانية" . "الجهات الفاعلة في التهديد تتابع بعناية الأحداث الجيوسياسية وتستخدمها لزيادة احتمالية الإصابة بعدوى ناجحة."
تحتوي رسائل البريد الإلكتروني المخادعة ، التي رصدها فريق البحث والاستخبارات بالشركة ، على مستند مُسلح يتضمن رابطًا يشير إلى ملف HTML.
تحتوي عناوين URL المُسلَّحة ، المستضافة على موقع إلكتروني شرعي للمكتبة على الإنترنت مقرها في السلفادور ، على إغراءات تتعلق بـ LegisWrite و eTrustEx ، وكلاهما تستخدمهما دول الاتحاد الأوروبي لتبادل آمن للوثائق.
تتضمن أداة قطارة HTML (التي يطلق عليها اسم ROOTSAW أو EnvyScout ) التي تم تسليمها في الحملة صورة ISO ، والتي بدورها مصممة لإطلاق مكتبة ارتباط ديناميكي ضارة (DLL) تسهل تسليم البرامج الضارة في المرحلة التالية عبر واجهات برمجة تطبيقات Notion.
تم الكشف سابقًا عن استخدام Notion ، وهو تطبيق مشهور لتدوين الملاحظات ، لاتصالات C2 بواسطة Recorded Future في يناير 2023. وتجدر الإشارة إلى أن APT29 قد وظفت العديد من الخدمات عبر الإنترنت مثل Dropbox و Google Drive و Firebase و Trello في محاولة للتهرب كشف.
"نوبليوم لا تزال نشطة للغاية ، وتنفيذ حملات متعددة بالتوازي تستهدف المنظمات الحكومية والمنظمات غير الحكومية والمنظمات الحكومية الدولية (IGOs) ، ومراكز الفكر في جميع أنحاء الولايات المتحدة وأوروبا وآسيا الوسطى ،" ذكرت مايكروسوفت الشهر الماضي .
تأتي النتائج أيضًا في الوقت الذي كشفت فيه شركة Proofpoint لأمن المؤسسات عن حملات بريد إلكتروني عدوانية نظمها ممثل تهديد متحالف مع روسيا يُدعى TA499 (المعروف أيضًا باسم Lexus و Vovan) منذ أوائل عام 2021 لخداع أهداف للمشاركة في مكالمات هاتفية مسجلة أو محادثات فيديو واستخراج معلومات قيمة.
وقالت الشركة: "انخرط ممثل التهديد في نشاط ثابت ووسع نطاق استهدافه ليشمل رجال الأعمال البارزين والأفراد البارزين الذين قدموا تبرعات كبيرة للجهود الإنسانية الأوكرانية أو أولئك الذين يدلون بتصريحات عامة حول التضليل والدعاية الروسية" .