Ρώσοι χάκερ παρακάμπτουν το Gmail MFA
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Ρώσοι χάκερ παρακάμπτουν το Gmail MFA
https://www.secnews.gr/651479/rosoi-hacker-parakamptoun-gmail-mfa/
Jun 19th 2025, 14:03
by Absenta Mia
Ομάδα επαγγελματιών ρώσων χάκερ που συνδέεται με την κυβέρνηση εντοπίστηκε να χρησιμοποιεί μια νέα, αργή αλλά αποτελεσματική τεχνική phishing, η οποία παρακάμπτει τον έλεγχο ταυτότητας MFA, εκμεταλλευόμενη τη λιγότερο γνωστή λειτουργία των «app-specific password» της Google.
Δείτε επίσης: Ρώσοι χάκερ στοχεύουν την κυβέρνηση του Τατζικιστάν
Σύμφωνα με τεκμηρίωση της Threat Intelligence Group της Google, η επιχείρηση διεξαγόταν από τον Απρίλιο έως και τις αρχές Ιουνίου και περιλάμβανε αποστολή email που προσποιούνταν ότι προέρχονταν από αξιωματούχους του Υπουργείου Εξωτερικών των ΗΠΑ, με άψογα αγγλικά, ενσωματωμένα σε αυθεντικά email και κοινοποιημένα σε τέσσερις ψεύτικους παραλήπτες με διευθύνσεις @state.gov.
Η Google παρακολουθεί την ομάδα των Ρώσων χάκερ με την ονομασία UNC6293 και θεωρεί ότι συνδέεται με την APT29, τη μονάδα ρωσικών υπηρεσιών πληροφοριών που κατηγορείται για την επίθεση κατά της Εθνικής Επιτροπής των Δημοκρατικών το 2016. Οι ερευνητές εκτιμούν ότι η ομάδα αφιέρωνε εβδομάδες για να προσεγγίσει κάθε στόχο, πριν στείλει λεπτομερείς οδηγίες για τη χρήση της λειτουργίας ASP (application-specific password).
Ένα από τα θύματα, ο Βρετανός συγγραφέας Keir Giles του Chatham House, αντάλλαξε περισσότερα από δέκα email με αποστολέα που παρουσιαζόταν ως "Claudie S. Weber." Τα μηνύματα στάλθηκαν εντός του ωραρίου εργασίας στην Ουάσιγκτον και χρησιμοποιούσαν διευθύνσεις email που δεν επέστρεφαν σφάλμα.
Δείτε ακόμα: Η ρωσική APT28 στοχεύει οργανισμούς που υποστηρίζουν την Ουκρανία
Αφού είχε οικοδομηθεί σχέση εμπιστοσύνης μέσω της επικοινωνίας, η Google ανέφερε ότι ο απατεώνας έστειλε ένα αρχείο PDF έξι σελίδων, με πλαστή επικεφαλίδα του Υπουργείου Εξωτερικών των ΗΠΑ, δίνοντας οδηγίες στο θύμα να επισκεφθεί τη σελίδα ρυθμίσεων του λογαριασμού Google, να δημιουργήσει έναν 16ψήφιο κωδικό πρόσβασης για συγκεκριμένη εφαρμογή με την ονομασία "ms.state.gov" και να τον στείλει πίσω μέσω email "για την ολοκλήρωση της ασφαλούς ενεργοποίησης."
Με τον κωδικό αυτό, οι Ρώσοι χάκερ απέκτησαν διαρκή πρόσβαση στον λογαριασμό Gmail του στόχου, χωρίς την ανάγκη επαλήθευσης δύο παραγόντων (MFA).
Η Citizen Lab, η οποία εξέτασε το παραπλανητικό υλικό κατόπιν αιτήματος του Giles, σημείωσε ότι τα email και το PDF δεν περιείχαν τα συνήθη γλωσσικά λάθη που συναντώνται σε επιθέσεις phishing. Οι ερευνητές υποπτεύονται ότι χρησιμοποιήθηκαν εργαλεία τεχνητής νοημοσύνης για τη γλωσσική επιμέλεια και την αποφυγή εντοπισμού.
Η Google συνέδεσε το περιστατικό του Giles με ένα δεύτερο κύμα που επικεντρώνεται σε ουκρανικά θέματα. Και στις δύο περιπτώσεις, οι εισβολείς δρομολόγησαν τις συνδέσεις μέσω της ίδιας οικιακής IP proxy και περιστασιακά επαναχρησιμοποίησαν τον κόμβο σε διαφορετικά θύματα.
Δείτε επίσης: Γαλλία: Κατηγορεί τους Ρώσους hackers APT28 για επιθέσεις στη χώρα
Το περιστατικό που περιγράφεται αποτελεί χαρακτηριστικό παράδειγμα της αυξανόμενης πολυπλοκότητας και «χειρουργικής ακρίβειας» που έχουν πλέον οι κυβερνοεπιθέσεις, ειδικά όταν συνδέονται με κρατικούς φορείς ή οργανωμένες ομάδες με ισχυρούς πόρους, όπως η APT29. Το πιο ανησυχητικό στοιχείο είναι η χρήση εργαλείων τεχνητής νοημοσύνης για τη δημιουργία απολύτως πειστικού περιεχομένου, χωρίς τα γνωστά γλωσσικά λάθη που συνήθως προδίδουν τις επιθέσεις phishing. Αυτό σημαίνει ότι ακόμη και καλά ενημερωμένοι και προσεκτικοί χρήστες μπορεί να ξεγελαστούν.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Ρώσοι χάκερ παρακάμπτουν το Gmail MFA
https://www.secnews.gr/651479/rosoi-hacker-parakamptoun-gmail-mfa/
Jun 19th 2025, 14:03
by Absenta Mia
Ομάδα επαγγελματιών ρώσων χάκερ που συνδέεται με την κυβέρνηση εντοπίστηκε να χρησιμοποιεί μια νέα, αργή αλλά αποτελεσματική τεχνική phishing, η οποία παρακάμπτει τον έλεγχο ταυτότητας MFA, εκμεταλλευόμενη τη λιγότερο γνωστή λειτουργία των «app-specific password» της Google.
Δείτε επίσης: Ρώσοι χάκερ στοχεύουν την κυβέρνηση του Τατζικιστάν
Σύμφωνα με τεκμηρίωση της Threat Intelligence Group της Google, η επιχείρηση διεξαγόταν από τον Απρίλιο έως και τις αρχές Ιουνίου και περιλάμβανε αποστολή email που προσποιούνταν ότι προέρχονταν από αξιωματούχους του Υπουργείου Εξωτερικών των ΗΠΑ, με άψογα αγγλικά, ενσωματωμένα σε αυθεντικά email και κοινοποιημένα σε τέσσερις ψεύτικους παραλήπτες με διευθύνσεις @state.gov.
Η Google παρακολουθεί την ομάδα των Ρώσων χάκερ με την ονομασία UNC6293 και θεωρεί ότι συνδέεται με την APT29, τη μονάδα ρωσικών υπηρεσιών πληροφοριών που κατηγορείται για την επίθεση κατά της Εθνικής Επιτροπής των Δημοκρατικών το 2016. Οι ερευνητές εκτιμούν ότι η ομάδα αφιέρωνε εβδομάδες για να προσεγγίσει κάθε στόχο, πριν στείλει λεπτομερείς οδηγίες για τη χρήση της λειτουργίας ASP (application-specific password).
Ένα από τα θύματα, ο Βρετανός συγγραφέας Keir Giles του Chatham House, αντάλλαξε περισσότερα από δέκα email με αποστολέα που παρουσιαζόταν ως "Claudie S. Weber." Τα μηνύματα στάλθηκαν εντός του ωραρίου εργασίας στην Ουάσιγκτον και χρησιμοποιούσαν διευθύνσεις email που δεν επέστρεφαν σφάλμα.
Δείτε ακόμα: Η ρωσική APT28 στοχεύει οργανισμούς που υποστηρίζουν την Ουκρανία
Αφού είχε οικοδομηθεί σχέση εμπιστοσύνης μέσω της επικοινωνίας, η Google ανέφερε ότι ο απατεώνας έστειλε ένα αρχείο PDF έξι σελίδων, με πλαστή επικεφαλίδα του Υπουργείου Εξωτερικών των ΗΠΑ, δίνοντας οδηγίες στο θύμα να επισκεφθεί τη σελίδα ρυθμίσεων του λογαριασμού Google, να δημιουργήσει έναν 16ψήφιο κωδικό πρόσβασης για συγκεκριμένη εφαρμογή με την ονομασία "ms.state.gov" και να τον στείλει πίσω μέσω email "για την ολοκλήρωση της ασφαλούς ενεργοποίησης."
Με τον κωδικό αυτό, οι Ρώσοι χάκερ απέκτησαν διαρκή πρόσβαση στον λογαριασμό Gmail του στόχου, χωρίς την ανάγκη επαλήθευσης δύο παραγόντων (MFA).
Η Citizen Lab, η οποία εξέτασε το παραπλανητικό υλικό κατόπιν αιτήματος του Giles, σημείωσε ότι τα email και το PDF δεν περιείχαν τα συνήθη γλωσσικά λάθη που συναντώνται σε επιθέσεις phishing. Οι ερευνητές υποπτεύονται ότι χρησιμοποιήθηκαν εργαλεία τεχνητής νοημοσύνης για τη γλωσσική επιμέλεια και την αποφυγή εντοπισμού.
Η Google συνέδεσε το περιστατικό του Giles με ένα δεύτερο κύμα που επικεντρώνεται σε ουκρανικά θέματα. Και στις δύο περιπτώσεις, οι εισβολείς δρομολόγησαν τις συνδέσεις μέσω της ίδιας οικιακής IP proxy και περιστασιακά επαναχρησιμοποίησαν τον κόμβο σε διαφορετικά θύματα.
Δείτε επίσης: Γαλλία: Κατηγορεί τους Ρώσους hackers APT28 για επιθέσεις στη χώρα
Το περιστατικό που περιγράφεται αποτελεί χαρακτηριστικό παράδειγμα της αυξανόμενης πολυπλοκότητας και «χειρουργικής ακρίβειας» που έχουν πλέον οι κυβερνοεπιθέσεις, ειδικά όταν συνδέονται με κρατικούς φορείς ή οργανωμένες ομάδες με ισχυρούς πόρους, όπως η APT29. Το πιο ανησυχητικό στοιχείο είναι η χρήση εργαλείων τεχνητής νοημοσύνης για τη δημιουργία απολύτως πειστικού περιεχομένου, χωρίς τα γνωστά γλωσσικά λάθη που συνήθως προδίδουν τις επιθέσεις phishing. Αυτό σημαίνει ότι ακόμη και καλά ενημερωμένοι και προσεκτικοί χρήστες μπορεί να ξεγελαστούν.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz