Russiske APT-grupper intensiverer cyberangrep mot Ukraina

Mens krigen i Ukraina ebber ut og flyter, med dagens våpenhvileordninger og innsats for å evakuere sivilbefolkningen på en trygg måte, raser konflikten fortsatt i cyberspace. I følge rapporter fra Googles Threat Analysis Group, angriper to APT-er som støtter den russiske regjeringen ukrainske mål og ett kinesisk utstyr bruker den nåværende situasjonen til å angripe europeiske mål.

Russiske og kinesiske APT-er retter seg mot Ukraina, Europa

De to pro-russiske enhetene Google fremhever som spissen for de nåværende nettangrepene mot ukrainske mål er Fancy Bear, også kjent som APT28 , og Ghostwriter – en aktiv vedvarende trusselgruppe som ble knyttet til Hviterussland sent i 2021.

Google rapporterer også en økning i aktiviteten til APT kaltMustang Panda, som er knyttet til kinesiske skuespillere. Det kinesiske antrekket retter seg for tiden mot enheter basert i Europa, ved å bruke phishing-lokker som er relatert til den pågående konflikten og flyktningtilstrømningen i en rekke europeiske land.

Phishing-angrepene lansert av pro-russiske APT-er bruker tidligere kompromitterte e-postadresser og omdirigerer potensielle ofre til sider kontrollert av APT – stort sett standard phishing-prosedyre. Google så at Ghostwriter lanserte phishing-kampanjer mot både ukrainske og polske militære og statlige enheter.

Google rapporterte at en rekke domener som brukes til phishing med legitimasjon allerede har blitt blokkert gjennom Googles funksjonalitet for «safe surfing». Domenene inkluderte uvanlige navn som "i dot ua-passport dot top" og "login dot credentials-email dot space".

Mustang Panda utnytter dagens flyktningsituasjon

I mellomtiden sender Kinas Mustang Panda ut phishing-lokker til europeiske enheter, og legger ved ondsinnede filer i e-postene med navn som antyder en slags viktig informasjon eller haster. Googles rapport nevner vedlegg med filnavn som «Situasjon ved EUs grenser med Ukraine.zip». Vedlegget vil inneholde en kjørbar fil som fungerer som en nedlaster for den endelige nyttelasten.

Googles trusselanalysegruppe har allerede gjort de nødvendige ordningene og har varslet alle enheter og myndigheter i landene som er målrettet av phishing-kampanjene.