Russiske APT-grupper intensiverer cyberangreb på Ukraine

Mens krigen i Ukraine ebber og flyder, med nutidens våbenhvile-arrangementer og bestræbelser på at evakuere civilbefolkningen sikkert, raser konflikten stadig i cyberspace. Ifølge rapporter fra Googles Threat Analysis Group angriber to APT'er , der støtter den russiske regering, ukrainske mål, og et kinesisk tøj bruger den nuværende situation til at angribe europæiske mål.

Russiske og kinesiske APT'er retter sig mod Ukraine, Europa

De to pro-russiske enheder, som Google fremhæver, som står i spidsen for de nuværende cyberangreb på ukrainske mål, er Fancy Bear, også kendt som APT28 , og Ghostwriter - en aktiv vedvarende trusselgruppe, der blev forbundet med Hviderusland i slutningen af 2021.

Google rapporterer også en stigning i aktiviteten af den kaldede APTMustang Panda, som er forbundet med kinesiske skuespillere. Det kinesiske outfit er i øjeblikket rettet mod enheder baseret i Europa, ved at bruge phishing-lokker, der er relateret til den igangværende konflikt og flygtningetilstrømning i en række europæiske lande.

Phishing-angrebene lanceret af pro-russiske APT'er bruger tidligere kompromitterede e-mail-adresser og omdirigerer potentielle ofre til sider kontrolleret af APT - stort set standard phishing-procedure. Google så Ghostwriter, der lancerede phishing-kampagner mod både ukrainske og polske militær- og regeringsenheder.

Google rapporterede, at en række domæner, der bruges til phishing med legitimationsoplysninger, allerede er blevet blokeret gennem Googles "sikker browsing"-funktion. Domænerne inkluderede usædvanlige navne såsom "i dot ua-passport dot top" og "login dot credentials-email dot space".

Mustang Panda udnytter den nuværende flygtningesituation

I mellemtiden udsender Kinas Mustang Panda phishing-lokker til europæiske enheder, ved at vedhæfte ondsindede filer i e-mails med navne, der tyder på en slags vigtig information eller uopsættelighed. Googles rapport nævner vedhæftede filer med filnavne såsom "Situation ved EU's grænser med Ukraine.zip". Den vedhæftede fil ville indeholde en eksekverbar fil, der fungerer som en downloader til den endelige nyttelast.

Googles Threat Analysis Group har allerede truffet de nødvendige foranstaltninger og har underrettet alle enheder og myndigheder i de lande, som phishing-kampagnerne er målrettet mod.