Analysen från Arctic Wolf bygger på tekniska indikatorer som över tid observerats i flera likartade incidenter. Enligt företaget pekar dessa mönster på att angreppen inte enbart är opportunistiska utan del av en mer samordnad och kapacitetsstark operation. De digitala verktyg, infrastrukturen och arbetsmetoderna som identifierats liknar tidigare aktiviteter som kopplats till den ryska militära underrättelsetjänsten GRU. Därför bedömer Arctic Wolf att en GRU-relaterad enhet med stor sannolikhet står bakom kampanjen eller åtminstone orkestrerar delar av den. Samtidigt betonar analysen att attribution alltid är komplex i cyberdomänen – men att den samlade bevisbilden i detta fall pekar tydligt mot ett statsstödd angreppsnivå.

Klassisk metod – ny målgrupp

Den aktuella attackvågen beskrivs som en vidareutveckling av Socgholish, en etablerad infektionskedja där angripare planterar kod på legitima webbplatser. Kodsnutten aktiverar ett popup-fönster som påstår att användarens webbläsare behöver uppdateras. När användaren klickar på ”uppdateringen” får angriparen omedelbart fotfäste i systemet. Men till skillnad från många tidigare, mer breda kampanjer tycks denna variant vara strategiskt riktad.

– Det nya är inte metoden i sig, utan att vi nu ser kopplingar till Ryssland och att attackerna är selektivt inriktade mot företag och organisationer i väst som stödjer Ukraina, säger Petter Glenstrup, Nordenchef på Arctic Wolf.

Romcom-kod i kombination med Socgholish

I en dokumenterad incident klickade en anställd på en komprometterad webbplats och godkände den falska uppdateringen. När koden aktiverades försökte angriparna snabbt installera skadlig programvara kopplad till gruppen RomCcm, en rysksponsrad aktör som tidigare använts i riktade spionageoperationer. Kombinationen av Romcom och Socgholish har inte observerats tidigare, enligt analysen.

Romcom-skadlig kod triggas först när den identifierat ett specifikt mål. Detta gör det möjligt för angripare att gömma riktade attacker i vad som till en början ser ut som masskampanjer. Den händelse som ligger till grund för Arctic Wolfs analys drabbade ett amerikanskt teknikbolag som haft samarbete med en stad med nära band till Ukraina.

Relevanta risker även i Norden

Attackerna anses särskilt relevanta för nordiska aktörer eftersom många företag, myndigheter och ideella organisationer sedan 2022 deltar i stödinsatser för Ukraina. Angripare kan därmed ha incitament att kartlägga eller störa även nordiska verksamheter som indirekt påverkar Ukrainas motståndskraft. Petter Glenstrup menar att fallet illustrerar hur svårt det blivit att dra tydliga gränser mellan cyberbrott, spionage och statliga operationer:

– Vi ser att många aktörer, oavsett motiv, använder samma verktyg och metoder. De rör sig på en gemensam marknad där tillgång till intrång ofta säljs vidare. Det gör hotbilden mer komplex och betydligt svårare att förutse.

Gateway till ransomware

Socgholish används också i kedjor som leder till ransomware-attacker. Gruppen bakom metoden, TA569, fungerar som en slags initial leverantör av åtkomst – och säljer vidare komprometterade system till andra cyberkriminella eller statsstödda aktörer. Det innebär att även till synes harmlösa incidenter kan vara förvarningar om betydligt allvarligare attacker.

– Ett Socgholish-intrång bör hanteras som ett tidigt stadium i en potentiell ransomware-attack. Den som agerar snabbt kan ofta stoppa angreppet innan det eskalerar, säger Petter Glenstrup.

Linda Kante Chefredaktör

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik

ANNONS

Sambandsspecialist

Vill du vara med och skapa en ny sambandsfunktion som stärker flera kommuners förmåga att leda och kommunicera [...]