De Russische spionagebeweging APT29 gebruikt phishing om bij Westerse organisaties binnen te komen. Mandiant, een cybersecuritybedrijf dat APT29 sinds 2014 volgt, ontdekte een reeks phishingcampagnes gericht op diplomatieke organisaties en overheidsorganisaties.
Russische hackersgroep richt zich op Westerse overheden
APT29 staat ook bekend als Cozy Bear of Nobelium en wordt waarschijnlijk gesteund door de Russische staat.
APT29 wordt volgens Mandiant waarschijnlijk gesteund door de Russische staat.
Cozy Bear
APT29, ook wel bekend als Cozy Bear of Nobelium, richtte zich halverwege januari 2022 met een phishingcampagne op een diplomatieke organisatie, schrijven de onderzoekers. Kort nadat duidelijk werd welke technieken de hackers gebruikten, kwamen de onderzoekers meerdere aanvalsgolven op het spoor.
De phishingmails die APT29 gebruikte waren verkleed als administratieve mededelingen voor verschillende ambassades. Legitieme (maar gehackte) mailadressen werden gebruikt om e-mails te verzenden, waarschijnlijk gebruik makende van openbaar vermelde e-mailadressen. De hackers maakten daarnaast ook misbruik van de gecompromitteerde software van ontwikkelaar Atlassian.
Wie op de link in de e-mail klikte, werd vervolgens door een schijnbaar legitiem installatieproces geleid, waar eigenlijk malafide software mee werd geïnstalleerd. Na een paar stappen zijn de hackers dan binnen en kunnen ze verder de systemen gaan verkennen, om zo meer informatie buit te maken.
Reacties: 1
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Er zijn vast wel mogelijkheden om APT29 c.s. plat te leggen