Mentionsy

Cyberszpiedzy z Moskwy #APT29, część 2/2

🪆 Na czym to ja ostatnio skończyłem? A, racja. Opowiadałem o tym, jak w niezwykle wyrafinowany sposób grupa APT29, czyli cyberszpiedzy ze Służby Wywiadu Zagranicznego Federacji Rosyjskiej, przejęła kontrolę nad oprogramowaniem Orion, produkowanym przez firmę Solarwinds.

Zapraszam na ciąg dalszy tej historii i kolejny odcinek serii opowieści z mchu i paproci o grupach cyberprzestępczych powiązanych z wywiadami różnych krajów. Tym razem Polska też odegra w niej pewną rolę.

Źródła:

🐤 Early Bird Catches the Wormhole: Observations from the StellarParticle Campaign

https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/

🗑️ OS Credential Dumping, MITRE ATT&CK

https://attack.mitre.org/techniques/T1003/

🕵🏻 Russian cyberspies targeted the Slovak government for months

https://therecord.media/russian-cyberspies-targeted-slovak-government-for-months

🤔 What Is Cobalt Strike and How Does It Work?

https://www.cynet.com/network-attacks/cobalt-strike-white-hat-hacker-powerhouse-in-the-wrong-hands/

🇫🇷 France warns of Nobelium cyberspies attacking French orgs

https://www.bleepingcomputer.com/news/security/france-warns-of-nobelium-cyberspies-attacking-french-orgs/

😶‍🌫️ FoggyWeb: Targeted NOBELIUM malware leads to persistent backdoor

https://www.microsoft.com/en-us/security/blog/2021/09/27/foggyweb-targeted-nobelium-malware-leads-to-persistent-backdoor/

🖲️ Trello From the Other Side: Tracking APT29 Phishing Campaigns

https://www.mandiant.com/resources/blog/tracking-apt29-phishing-campaigns

💾 Russian APT29 Hackers Use Online Storage Services, DropBox and Google Drive

https://unit42.paloaltonetworks.com/cloaked-ursa-online-storage-services-campaigns/

☑️ MagicWeb: NOBELIUM’s post-compromise trick to authenticate as anyone

https://www.microsoft.com/en-us/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/

🇵🇱 NOBELIUM Uses Poland's Ambassador’s Visit to the U.S. to Target EU Governments Assisting Ukraine

https://blogs.blackberry.com/en/2023/03/nobelium-targets-eu-governments-assisting-ukraine

🇷🇺 CERT Polska i SKW ostrzegają przed działaniami rosyjskich szpiegów

https://cert.pl/posts/2023/04/kampania-szpiegowska-apt29/

🔎 Kampania szpiegowska wiązana z rosyjskimi służbami specjalnymi

https://www.gov.pl/web/baza-wiedzy/kampania-szpiegowska-wiazana-z-rosyjskimi-sluzbami-specjalnymi

🧑‍💻 Midnight Blizzard conducts targeted social engineering over Microsoft Teams

https://www.microsoft.com/en-us/security/blog/2023/08/02/midnight-blizzard-conducts-targeted-social-engineering-over-microsoft-teams/

💥 APT29 Attacks Embassies Using CVE-2023-38831

https://www.rnbo.gov.ua/files/2023_YEAR/CYBERCENTER/november/APT29 attacks Embassies using CVE-2023-38831 - report en.pdf

👍🏻 AlessandroZ / LaZagne @ GitHub - PublicCredentials recovery project

https://github.com/AlessandroZ/LaZagne

Relevant xkcd: https://xkcd.com/1573/

© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.

❤️ Dziękuję za Waszą uwagę.

Znajdziecie mnie również na:

Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/

Twitterze @MateuszChrobok https://twitter.com/MateuszChrobok

Mastodonie https://infosec.exchange/@mateuszchrobok

LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/

Patronite @MateuszChrobok https://patronite.pl/MateuszChrobok

Podcasty na:

Anchor https://anchor.fm/mateusz-chrobok

Spotify https://open.spotify.com/show/6y6oWs20HwRejktOWHTteR

Apple Podcasts https://apple.co/3OwjvOh

Rozdziały:

00:00 Intro

01:10 2021 StellarParticle

05:50 2021 Dyplomacja

09:13 2022 Trello

14:43 2023 ADFS

16:53 2023 Polska

18:10 2023 Inaczej

20:55 2023 TeamCity

22:35 Co Robić i Jak Żyć?

#Rosja #SVR #APT29 #szpiedzy #cyberwojna

https://www.youtube.com/watch?v=2Tm1eP8QqYQ

Cześć. Na czym to ja ostatnio skończyłem? Racja, odpowiadałem wam o tym, jak w niezwykle wyrafinowany sposób grupa APT29, czyli cyberszpiedzy ze służby wywiadu zagranicznego Federacji Rosyjskiej przejęła kontrolę nad oprogramowaniem Orion, produkowanym przez firmę SolarWinds. Był to największy, przynajmniej do tamtej pory, atak na supply chain, czyli łańcuch wytwarzania oprogramowania. Bardzo skomplikowana sprawa, pozwalająca osiągnąć naprawdę niebywałe efekty. Jakie? A no, zainfekowa...