Venäjän APT-ryhmät tehostavat kyberhyökkäyksiä Ukrainaa vastaan

Kun Ukrainan sota hämärtyy ja virtaa, nykyisten tulitaukojärjestelyjen ja siviiliväestön turvallisen evakuoinnin myötä konflikti jatkuu edelleen kyberavaruudessa. Googlen Threat Analysis Groupin raporttien mukaan kaksi Venäjän hallitusta tukevaa APT :tä hyökkää Ukrainan kohteisiin ja yksi kiinalainen yksikkö käyttää nykyistä tilannetta iskeäkseen eurooppalaisiin kohteisiin.

Venäläiset ja kiinalaiset APT:t kohdistuvat Ukrainaan ja Eurooppaan

Kaksi Venäjä-mielistä yhteisöä, jotka Google korostaa nykyisten ukrainalaisten kohteiden kyberhyökkäysten kärjessä, ovat Fancy Bear, joka tunnetaan myös nimellä APT28 , ja Ghostwriter – aktiivinen jatkuva uhkaryhmä, joka yhdistettiin Valko-Venäjään vuoden 2021 lopulla.

Google raportoi myös APT:n toiminnan kasvustaMustang Panda, joka yhdistetään kiinalaisten näyttelijöiden kanssa. Kiinalainen asu on tällä hetkellä suunnattu Euroopassa sijaitseviin yhteisöihin käyttämällä tietojenkalasteluuistimia, jotka liittyvät meneillään olevaan konfliktiin ja pakolaisvirtaan useissa Euroopan maissa.

Venäjä-mielisten APT:iden käynnistämät tietojenkalasteluhyökkäykset käyttävät aiemmin vaarantuneita sähköpostiosoitteita ja ohjaavat mahdollisia uhreja APT:n hallitsemille sivuille - suurelta osin standardien tietojenkalastelumenettelyyn. Google havaitsi Ghostwriterin käynnistävän tietojenkalastelukampanjoita sekä Ukrainan että Puolan armeijan ja hallituksen tahoja vastaan.

Google ilmoitti, että useat tunnistetietojen kalasteluun käytetyt verkkotunnukset on jo estetty Googlen "selaussuoja"-toiminnon kautta. Verkkotunnukset sisälsivät epätavallisia nimiä, kuten "i dot ua-passport dot top" ja "login dot credentials-email dot space".

Mustang Panda hyödyntää nykyistä pakolaistilannetta

Samaan aikaan kiinalainen Mustang Panda lähettää phishing-vieheitä eurooppalaisille tahoille ja liittää sähköposteihin haitallisia tiedostoja nimillä, jotka viittaavat johonkin tärkeään tietoon tai kiireellisyyteen. Googlen raportissa mainitaan liitteet, joiden tiedostonimiä ovat esimerkiksi "Tilanne EU:n rajoilla Ukrainan kanssa.zip". Liite sisältää suoritettavan tiedoston, joka toimii viimeisen hyötykuorman latausohjelmana.

Googlen Threat Analysis Group on jo tehnyt tarvittavat järjestelyt ja on ilmoittanut kaikille yhteisöille ja viranomaisille niissä maissa, joihin tietojenkalastelukampanjat kohdistuvat.