Az orosz APT csoportok fokozzák az Ukrajna elleni kibertámadásokat

Ahogy az ukrajnai háború apad és folyik, a mai tűzszüneti megállapodások és a polgári lakosság biztonságos evakuálására tett erőfeszítések mellett a konfliktus továbbra is dúl a kibertérben. A Google Threat Analysis Group jelentése szerint az orosz kormányt támogató két APT ukrán célpontokat támad, egy kínai egység pedig a jelenlegi helyzetet használja fel európai célpontokra.

Az orosz és kínai APT-k Ukrajnát és Európát célozzák

A Google által az ukrán célpontok elleni jelenlegi kibertámadások élén álló két oroszbarát entitás a Fancy Bear, más néven APT28 , és a Ghostwriter – egy aktív, állandó fenyegetési csoport, amely 2021 végén állt kapcsolatban Fehéroroszországgal.

A Google az APT nevű szervezet aktivitásának felfutásáról is beszámolMustang Panda, amely kínai színészekkel áll kapcsolatban. A kínai csapat jelenleg Európában székhellyel rendelkező entitásokat céloz meg, adathalász csalikat használva, amelyek a folyamatban lévő konfliktusokhoz és számos európai országban a menekültáradathoz kapcsolódnak.

Az oroszbarát APT-k által indított adathalász támadások korábban feltört e-mail címeket használnak, és a potenciális áldozatokat az APT által felügyelt oldalakra irányítják át – ez nagyrészt szabványos adathalászati eljárás. A Google észrevette, hogy a Ghostwriter adathalász kampányt indított ukrán és lengyel katonai és kormányzati szervek ellen.

A Google arról számolt be, hogy számos hitelesítő adathalászathoz használt domaint már letiltottak a Google "biztonságos böngészés" funkciója révén. A domainek szokatlan neveket tartalmaztak, például „i dot ua-passport dot top” és „bejelentkezési pont hitelesítő adatok-e-mail pontköz”.

A Mustang Panda kihasználja a jelenlegi menekülthelyzetet

Eközben a kínai Mustang Panda adathalász csalókat küld az európai szervezeteknek, rosszindulatú fájlokat csatolva az e-mailekhez, olyan nevekkel, amelyek valamilyen fontos információra vagy sürgősségre utalnak. A Google jelentése megemlíti a mellékleteket olyan fájlnevekkel, mint például "Helyzet az EU ukrajnai határain.zip". A melléklet tartalmazna egy végrehajtható fájlt, amely letöltőként működik a végső rakomány számára.

A Google Fenyegetéselemző Csoportja már megtette a szükséges intézkedéseket, és értesítette az adathalász kampányok által megcélzott országok összes szervezetét és hatóságát.