Группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) предупредила о кибератаках, совершенных российскими хакерами национального государства, нацеленными на различные правительственные органы в стране.
Агентство приписало фишинговую кампанию APT28, которая также известна под названиями Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit и Sofacy.
Сообщения электронной почты приходят со строкой темы "Центр обновления Windows" и предположительно содержат инструкции на украинском языке для запуска команды PowerShell под предлогом обновлений безопасности.
Запуск скрипта загружает и выполняет сценарий PowerShell следующего этапа, который предназначен для сбора базовой системной информации с помощью таких команд, как tasklist и systeminfo, и извлечения деталей с помощью HTTP-запроса к Mocky API.
Чтобы заставить цели выполнить команду, электронные письма выдавали себя за системных администраторов целевых государственных структур, используя поддельные учетные записи электронной почты Microsoft Outlook, созданные с настоящими именами и инициалами сотрудников.
CERT-UA рекомендует организациям ограничить возможности пользователей запускать сценарии PowerShell и отслеживать сетевые подключения к Mocky API.
Раскрытие произошло через несколько недель после того, как APT28 был связан с атаками, использующими исправленные недостатки безопасности в сетевом оборудовании для проведения разведки и развертывания вредоносного ПО против избранных целей.
Группа анализа угроз Google (TAG) в рекомендации, опубликованной в прошлом месяце, подробно описала операцию сбора учетных данных, выполняемую злоумышленником для перенаправления посетителей украинских правительственных веб-сайтов на фишинговые домены.
Хакерские группы, базирующиеся в России, также были связаны с использованием критического недостатка в повышении привилегий в Microsoft Outlook (CVE-2023-23397, оценка CVSS: 9,8) во вторжениях, направленных против правительства, транспорта, энергетики и военного сектора в Европе.
Разработка также связана с тем, что Fortinet FortiGuard Labs раскрыла многоэтапную фишинговую атаку, в которой документ Word с макросъемкой, предположительно, от украинского Энергоатома, используется в качестве приманки для предоставления платформы пост эксплуатации с открытым исходным кодом Havoc.
"Остается весьма вероятным, что российская разведка, военные и правоохранительные службы имеют давнее молчаливое взаимопонимание с субъектами киберпреступных угроз", - заявила в отчете ранее в этом году фирма по кибербезопасности Recorded Future.
"В некоторых случаях почти наверняка эти агентства поддерживают установленные и систематические отношения с субъектами киберпреступных угроз, либо путем косвенного сотрудничества, либо путем вербовки".
Эта статья показалась вам интересной? Подписывайтесь, чтобы ознакомиться с более эксклюзивным контентом. Спасибо за внимание!