Ruskom podporovaní aktéri hrozieb pokračujú vo svojich sofistikovaných kyberšpionážnych operáciách proti západným inštitúciám prostredníctvom pokročilých phishingových taktík.
Calisto, súprava na vniknutie medzi Ruskom a Ruskom pripísaná Centru 18 pre informačnú bezpečnosť ruskej FSB (vojenská jednotka 64829), sa ukázala ako pretrvávajúca hrozba zameraná na výskumné subjekty NATO a strategické organizácie.
Skupina rozšírila svoj rozsah útokov na mimovládne organizácie a think-tanky so zameraním na krajiny podporujúce Ukrajinu a východoeurópske národy.
Kampane proti malvéru využívajú techniky sociálneho inžinierstva spárované s metodológiou ClickFix, čo je taktika sociálneho inžinierstva, ktorá manipuluje používateľov do akcií, ktoré ohrozujú bezpečnosť.
Tieto útoky fungujú prostredníctvom starostlivo vytvorených e-mailov typu spear-phishing, ktoré sa vydávajú za dôveryhodné kontakty, pričom využívajú psychologickú manipuláciu na lákanie obetí na stiahnutie škodlivých súborov alebo návštevu narušenej infraštruktúry.
Phishingový e-mail proti reportérom (zdroj – Sekoia)
Bezpečnostní analytici spoločnosti Sekoia identifikovali malvér po pozorovaní koordinovaných útokov na ciele s vysokou hodnotou.
Skupina používala návnady e-mailov s chýbajúcimi prílohami alebo poškodenými súbormi PDF, čo obete vyzývalo, aby požiadali o opätovné odoslanie.
Calisto PDF vedúce k phishingovým webovým stránkam (zdroj – Sekoia)
Akonáhle sa útočníci zapoja do korešpondencie, doručujú škodlivé dáta prostredníctvom presmerovaných odkazov hostených na napadnutých webových stránkach.
Tento viacstupňový prístup zvyšuje dôveryhodnosť pri zachovaní prevádzkovej bezpečnosti. Technická infraštruktúra odhaľuje sofistikované reťazce útokov.
Presmerovače neoprávneného získavania údajov využívajú skripty PHP nasadené na napadnutých serveroch a prijímajú parametre tokenov prostredníctvom požiadaviek GET podobných štandardným kódom sledovania.
Po aktivácii škodlivý JavaScript presmeruje používateľov na portály na získavanie poverení. Vlastná súprava na phishing, hosťovaná na account.simpleasip(.)org, sa špecificky zameriava na účty ProtonMail prostredníctvom techniky Adversary-in-the-Middle.
Calisto vidieť pre Protimail (Zdroj – Sekoia)
Rozhranie vkladá škodlivý kód JavaScript, ktorý udržiava vynútené zameranie kurzora na polia hesiel každých 250 milisekúnd, čím zabraňuje navigácii používateľa.
Keď používatelia zadajú prihlasovacie údaje, vložený kód interaguje s rozhraním API ovládaným útočníkom umiestneným na stránke scorelikelygateway.simLeasip(.)org, pričom prenáša autentifikačné údaje a zároveň poskytuje legitímne vyzerajúce výzvy CAPTCHA a dvojfaktorové overovacie výzvy na udržanie podvodu.
Mechanizmus infekcie a taktika perzistencie
Po úspešnom získaní poverení sa phishingová súprava pokúsi získať platné koncové body z infraštruktúry ProtonMail, aby sa zachoval funkčný vzhľad.
Útočníci využívajú proxy služby, pričom protokoly odhaľujú prístup z IP adresy 196.44.117(.)196 spojenej so službou Big Mama Proxy. Analýza infraštruktúry ukazuje pretrvávajúci vývoj vzorov útokov.
Calisto registruje domény prostredníctvom viacerých registrátorov, spočiatku pomocou Regway pred prechodom na bezplatné a štandardné autoritatívne servery Namecheap, čo umožňuje analytikom hrozieb sledovať a korelovať útočné kampane so strednou istotou.
Napriek rozsiahlemu zverejneniu Calisto pokračuje v rozširovaní phishingových operácií zameraných na priaznivcov Ukrajiny. Organizácie zapojené do humanitárnej práce, presadzovania slobody tlače a strategického výskumu zostávajú hlavnými cieľmi v súlade s prioritami ruských spravodajských služieb.
Sledujte nás na Google News, LinkedIn a X a získajte viac okamžitých aktualizácií, nastavte CSN ako preferovaný zdroj v Google.
