🪆 Na czym to ja ostatnio skończyłem? A, racja. Opowiadałem o tym, jak w niezwykle wyrafinowany sposób grupa APT29, czyli cyberszpiedzy ze Służby Wywiadu Zagranicznego Federacji Rosyjskiej, przejęła kontrolę nad oprogramowaniem Orion, produkowanym przez firmę Solarwinds.

Zapraszam na ciąg dalszy tej historii i kolejny odcinek serii opowieści z mchu i paproci o grupach cyberprzestępczych powiązanych z wywiadami różnych krajów. Tym razem Polska też odegra w niej pewną rolę.

Źródła:

🐤 Early Bird Catches the Wormhole: Observations from the StellarParticle Campaign

https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/

🗑️ OS Credential Dumping, MITRE ATT&CK

https://attack.mitre.org/techniques/T1003/

🕵🏻 Russian cyberspies targeted the Slovak government for months

https://therecord.media/russian-cyberspies-targeted-slovak-government-for-months

🤔 What Is Cobalt Strike and How Does It Work?

https://www.cynet.com/network-attacks/cobalt-strike-white-hat-hacker-powerhouse-in-the-wrong-hands/

🇫🇷 France warns of Nobelium cyberspies attacking French orgs

https://www.bleepingcomputer.com/news/security/france-warns-of-nobelium-cyberspies-attacking-french-orgs/

😶‍🌫️ FoggyWeb: Targeted NOBELIUM malware leads to persistent backdoor

https://www.microsoft.com/en-us/security/blog/2021/09/27/foggyweb-targeted-nobelium-malware-leads-to-persistent-backdoor/

🖲️ Trello From the Other Side: Tracking APT29 Phishing Campaigns

https://www.mandiant.com/resources/blog/tracking-apt29-phishing-campaigns

💾 Russian APT29 Hackers Use Online Storage Services, DropBox and Google Drive

https://unit42.paloaltonetworks.com/cloaked-ursa-online-storage-services-campaigns/

☑️ MagicWeb: NOBELIUM’s post-compromise trick to authenticate as anyone

https://www.microsoft.com/en-us/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/

🇵🇱 NOBELIUM Uses Poland's Ambassador’s Visit to the U.S. to Target EU Governments Assisting Ukraine

https://blogs.blackberry.com/en/2023/03/nobelium-targets-eu-governments-assisting-ukraine

🇷🇺 CERT Polska i SKW ostrzegają przed działaniami rosyjskich szpiegów

https://cert.pl/posts/2023/04/kampania-szpiegowska-apt29/

🔎 Kampania szpiegowska wiązana z rosyjskimi służbami specjalnymi

https://www.gov.pl/web/baza-wiedzy/kampania-szpiegowska-wiazana-z-rosyjskimi-sluzbami-specjalnymi

🧑‍💻 Midnight Blizzard conducts targeted social engineering over Microsoft Teams

https://www.microsoft.com/en-us/security/blog/2023/08/02/midnight-blizzard-conducts-targeted-social-engineering-over-microsoft-teams/

💥 APT29 Attacks Embassies Using CVE-2023-38831

https://www.rnbo.gov.ua/files/2023_YEAR/CYBERCENTER/november/APT29 attacks Embassies using CVE-2023-38831 - report en.pdf

👍🏻 AlessandroZ / LaZagne @ GitHub - PublicCredentials recovery project

https://github.com/AlessandroZ/LaZagne

Relevant xkcd: https://xkcd.com/1573/

© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.

❤️ Dziękuję za Waszą uwagę.

Znajdziecie mnie również na:

Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/

Twitterze @MateuszChrobok https://twitter.com/MateuszChrobok

Mastodonie https://infosec.exchange/@mateuszchrobok

LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/

Patronite @MateuszChrobok https://patronite.pl/MateuszChrobok

Podcasty na:

Anchor https://anchor.fm/mateusz-chrobok

Spotify https://open.spotify.com/show/6y6oWs20HwRejktOWHTteR

Apple Podcasts https://apple.co/3OwjvOh

Rozdziały:

00:00 Intro

01:10 2021 StellarParticle

05:50 2021 Dyplomacja

09:13 2022 Trello

14:43 2023 ADFS

16:53 2023 Polska

18:10 2023 Inaczej

20:55 2023 TeamCity

22:35 Co Robić i Jak Żyć?

#Rosja #SVR #APT29 #szpiedzy #cyberwojna

https://www.youtube.com/watch?v=2Tm1eP8QqYQ