Managed hosting door True
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.

SentinelLabs ontdekt nieuwe dreigingen gericht op Russische organisaties

 

SentinelLabs, de onderzoeksafdeling van SentinelOne, heeft cyberaanvallen ontdekt die gericht zijn op Russische organisaties. Er zijn sterke aanwijzingen dat de door de Chinese staat gesponsorde cyberspionagegroep APT verantwoordelijk is voor de aanval. Oekraïense CERT (CERT-UA), het nationale Computer Emergency Response Team van Oekraïne, deelt dit vermoeden.

Bij de aanvallen worden phishing-e-mails ingezet met daarin Office-documenten die na het openen een Remote Access Tool installeren. Hierdoor kan de hacker vanaf één basiscomputer inloggen op alle geregistreerde computers en deze op afstand beheren. SentinelLabs heeft activiteiten geïdentificeerd met vergelijkbare aanvalstechnieken die zijn gericht op telecommunicatie organisaties in Pakistan.

Royal Road

Op 22 juni 2022 heeft CERT-UA in een alert een verzameling documenten openbaar gemaakt die zijn gemaakt met Royal Road, een document builder die veel wordt gebruikt door Chinese APT-groepen en op Russische overheden is gericht. De backdoor RAT Bisonal wordt voornamelijk door Chinese aanvallers ingezet.

De bevindingen van SentinelLabs geven op dit moment nog een incompleet beeld van de phishing-activiteiten. Ze verschaffen echter wel inzicht in de doelen van de aanvaller. Royal Road-documenten bevatten namelijk inhoudelijke informatie die relevant is voor hun doelwitten. Daaruit valt af te leiden dat de doelwitten waarschijnlijk Russische overheidsorganisaties zijn. Het is duidelijk dat Chinese cyberspionagegroepen –  in meerdere campagnes die na de invasie van Oekraïne plaatsvonden – het gemunt hebben op een breed scala aan organisaties met Russische links.

Vermoedelijke betrokkenheid van Tonto Team

De bestanden en infrastructuur zouden gelinkt kunnen worden aan de APT-groep Tonto Team (ook bekend als “CactusPete” en “Earth Akhlut”), een Chinese cyberspionagegroep waarover al bijna tien jaar wordt gerapporteerd. Dit verband is echter niet waterdicht, omdat er een mogelijkheid bestaat dat Chinese aanvallers middelen delen waardoor exacte toeschrijving aan een bepaalde groep onzeker is. De bekende doelwitten zijn verspreid over de hele wereld, maar bevinden zich met name in Noordoost-Azië. Regeringen, kritieke infrastructuur en andere, particuliere ondernemingen zijn voornamelijk doelwit. De doelen van deze aanvallen lijken gerelateerd te zijn aan spionage, maar de bredere context is vooralsnog onduidelijk.

Lees het blog voor de technische specificaties.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7387172). © Jaarbeurs IT Media.

?

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.