I gruppi APT russi intensificano gli attacchi informatici all'Ucraina

Mentre la guerra in Ucraina va e viene, con gli accordi odierni per il cessate il fuoco e gli sforzi per evacuare in sicurezza la popolazione civile, il conflitto infuria ancora nel cyberspazio. Secondo i rapporti del Threat Analysis Group di Google, due APT che supportano il governo russo stanno attaccando obiettivi ucraini e un gruppo cinese sta sfruttando la situazione attuale per colpire obiettivi europei.

Gli APT russi e cinesi prendono di mira l'Ucraina, l'Europa

Le due entità filo-russe che Google evidenzia come a capo degli attuali attacchi informatici contro obiettivi ucraini sono Fancy Bear, noto anche come APT28 , e Ghostwriter, un gruppo attivo di minacce persistenti che è stato collegato alla Bielorussia alla fine del 2021.

Google segnala anche un aumento dell'attività dell'APT chiamatoMustang Panda, che è legato agli attori cinesi. L'organizzazione cinese sta attualmente prendendo di mira entità con sede in Europa, utilizzando esche di phishing legate al conflitto in corso e all'afflusso di rifugiati in diversi paesi europei.

Gli attacchi di phishing lanciati dagli APT filo-russi utilizzano indirizzi e-mail precedentemente compromessi e reindirizzano le potenziali vittime a pagine controllate dall'APT, una procedura di phishing in gran parte standard. Google ha individuato Ghostwriter che lanciava campagne di phishing contro enti governativi e militari sia ucraini che polacchi.

Google ha riferito che un certo numero di domini utilizzati per il phishing delle credenziali sono già stati bloccati tramite la funzionalità di "navigazione sicura" di Google. I domini includevano nomi insoliti come "i dot ua-passport dot top" e "login dot credenziali-email dot space".

Mustang Panda approfitta dell'attuale situazione dei rifugiati

Nel frattempo, la Mustang Panda cinese sta inviando esche di phishing a entità europee, allegando file dannosi nelle e-mail con nomi che suggeriscono una sorta di informazione importante o urgenza. Il rapporto di Google menziona allegati con nomi di file come "Situazione ai confini dell'UE con Ukraine.zip". L'allegato conterrebbe un file eseguibile che funziona come downloader per il payload finale.

Il gruppo di analisi delle minacce di Google ha già preso le disposizioni necessarie e ha informato tutte le entità e le autorità nei paesi colpiti dalle campagne di phishing.