Złośliwe oprogramowanie SnowyAmber wykorzystywane przez rosyjskich cyberszpiegów do ataków na organizacje NATO i UE
W niedawnych źródłach wiadomości dotyczących cyberbezpieczeństwa donoszono, że rosyjscy cyberszpiedzy uruchomili nowy zestaw złośliwych narzędzi, którego używali do atakowania organizacji NATO i Unii Europejskiej (UE). Zestaw narzędzi do złośliwego oprogramowania okazał się wysoce wyrafinowanym i ukrytym złośliwym oprogramowaniem, zdolnym do uniknięcia wykrycia przez tradycyjne oprogramowanie antywirusowe.
Według raportu winowajcą może być zestaw narzędzi MontysThree, który jest używany od co najmniej 2018 r., a jego głównymi celami są organizacje NATO i UE. Mówi się, że osoby atakujące stosowały różne taktyki, w tym e-maile typu spear phishing i ataki typu „watering hole”, aby uzyskać dostęp do sieci docelowych. Ponadto stwierdzono, że ładunkiem było zagrożenie złośliwym oprogramowaniem SNOWYAMBER, które zostało zgłoszone i wykryte w październiku 2022 r.
Co robi SNOWOWYAMBER?
Po przedostaniu się do sieci docelowej, złośliwe oprogramowanie SNOWYAMBER może wykonywać szeroki zakres złośliwych działań, w tym kradzież poufnych danych, monitorowanie ruchu sieciowego, a nawet wykonywanie dodatkowych ładunków szkodliwego oprogramowania. Stwierdzono, że złośliwe oprogramowanie jest wysoce elastyczne, a osoby atakujące używają różnych technik i ładunków w zależności od konkretnego celu.
W raporcie zauważono również, że osoby atakujące stojące za zestawem złośliwych narzędzi MontysThree prawdopodobnie są sponsorowane przez państwo, biorąc pod uwagę poziom zaawansowania i zasoby wymagane do opracowania i utrzymania takiego zestawu narzędzi. Chociaż dokładne motywy atakujących nie są jasne, uważa się, że głównym celem jest zebranie danych wywiadowczych i kradzież poufnych danych przy użyciu narzędzi takich jak SNOWYAMBER.
Ogólnie rzecz biorąc, odkrycie zagrożenia złośliwym oprogramowaniem SNOWYAMBER podkreśla ciągłe ataki ze strony cyberszpiegostwa sponsorowanego przez państwo. Ponieważ osoby atakujące nadal opracowują coraz bardziej wyrafinowane i podstępne zestawy narzędzi do złośliwego oprogramowania, organizacje muszą zachować czujność i podejmować proaktywne kroki w celu ochrony swoich sieci i wrażliwych danych.
Użytkownicy komputerów muszą również wystrzegać się zagrożenia ze strony złośliwego oprogramowania SNOWYAMBER, ponieważ może ono zostać wykorzystane do ataku na system i pobrania jego złośliwych instrukcji z serwera dowodzenia. Istnieje również pewien związek z grupą APT29, o której wiadomo, że została wykorzeniona z Rosji i ma powiązania z grupami o nazwach Cosy Bear, Cosy Duke, Dukes i Office Monkeys.
