Dutch IT Chanel Logo mobile
Search icon
Wouter Hoeffnagel - 12 augustus 2024

Russische cybercriminelen zetten SUV in als lokmiddel voor diplomaten

Russische cybercriminelen bieden een SUV te koop aan als lokmiddel voor diplomaten, die zij vervolgens besmetten met malware. De groep onderhoudt banden met de Russische militaire inlichtingendienst.

Security Data protection Identity protection
Russische cybercriminelen zetten SUV in als lokmiddel voor diplomaten image

Hiervoor waarschuwt Unit 42, de onderzoeksgroep van Palo Alto Networks, in een nieuw rapport. De aanvallers worden in verband gebracht met de groep Fighting Ursa, ook bekend als APT 28. Unit 42 ontdekte dat deze groep specifiek een Audi Q7 Quattro SUV te koop aanbood als phishing lokmiddel om de "HeadLace backdoor"-malware te verspreiden onder diplomaten sinds maart 2024. 


Succesvolle tactieken hergebruiken

Het ‘diplomatieke-auto-te-koop’-phishingthema wordt al jaren gebruikt door Russische cyberaanvallers. Deze lokmiddelen slaan aan bij diplomaten en zorgen ervoor dat doelwitten op de schadelijke inhoud klikken. Unit 42 heeft eerder gezien dat bedreigers deze tactiek gebruikten. In 2023 hergebruikte een andere Russische groep cyberaanvallers, Cloaked Ursa, bijvoorbeeld een advertentie met een te koop staande BMW met als doelwit diplomatieke missies in Oekraïne. De Fighting Ursa-groep staat bekend om het hergebruiken van succesvolle tactieken - zelfs nog het exploiteren van bekende kwetsbaarheden gedurende 20 maanden nadat hun dekmantel al was opgeblazen.

De details van de campagne van maart 2024 geven aan dat de groep zich richtte op diplomaten en gebruikmaakte van openbare en gratis diensten om verschillende stadia van de aanval te hosten. Unit 42 schrijft de campagne met een gemiddeld tot hoog betrouwbaarheidsniveau toe aan Fighting Ursa.

Inloggegevens stelen

HeadLace is een modulaire malware, wat betekent dat verschillende stadia van de handelingen die de malware uitvoert aan elkaar worden gekoppeld vanuit gedownloade zip-bestanden en/of externe website-downloads. Deze stadia zijn waargenomen bij gratis code-hostingsites zoals Mockbin, Webhook en Infinityfree. Volgens brancheverslagen is het doel van deze malware om inloggegevens van het gecompromitteerde systeem te verzamelen en te exfiltreren. Deze inloggegevens worden later waarschijnlijk gebruikt voor toegang en/of laterale beweging.

Palo Alto Networks adviseert organisaties het gebruik van gratis diensten zorgvuldig te onderzoeken en daarbij risico's in kaart te brengen.

Gartner BW tm 02-11-2024 Dutch IT Security Day BW tm 15-10-2024

Dutch IT events

Event icon

Event

Dutch IT Golf Cup

Event icon

Event

Dutch IT Security Day

Alle events
Dutch IT Security Day BN tm 15-10-2024

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!