Russische APT-groepen intensiveren cyberaanvallen op Oekraïne

Terwijl de oorlog in Oekraïne steeds verder wegzakt, met de huidige wapenstilstandsregelingen en inspanningen om de burgerbevolking veilig te evacueren, woedt het conflict nog steeds voort in cyberspace. Volgens rapporten van de Threat Analysis Group van Google vallen twee APT's die de Russische regering ondersteunen Oekraïense doelen aan en gebruikt een Chinese eenheid de huidige situatie om Europese doelen aan te vallen.

Russische en Chinese APT's richten zich op Oekraïne, Europa

De twee pro-Russische entiteiten die Google benadrukt als voorlopers van de huidige cyberaanvallen op Oekraïense doelen, zijn Fancy Bear, ook bekend als APT28 , en Ghostwriter - een actieve, hardnekkige dreigingsgroep die eind 2021 in verband werd gebracht met Wit-Rusland.

Google meldt ook een toename van de activiteit van de APT genaamdMustang Panda, die in verband wordt gebracht met Chinese acteurs. De Chinese outfit richt zich momenteel op entiteiten die in Europa zijn gevestigd, met behulp van phishing-lokmiddelen die verband houden met het aanhoudende conflict en de vluchtelingenstroom in een aantal Europese landen.

De phishing-aanvallen van pro-Russische APT's gebruiken eerder gecompromitteerde e-mailadressen en leiden potentiële slachtoffers om naar pagina's die worden beheerd door de APT - grotendeels standaard phishing-procedure. Google zag dat Ghostwriter phishing-campagnes lanceerde tegen zowel Oekraïense als Poolse militaire en overheidsinstanties.

Google meldde dat een aantal domeinen die worden gebruikt voor phishing met referenties al zijn geblokkeerd via de functie 'veilig browsen' van Google. De domeinen bevatten ongebruikelijke namen zoals "i dot ua-passport dot top" en "login dot credentials-email dot space".

Mustang Panda profiteert van huidige vluchtelingensituatie

Ondertussen stuurt de Chinese Mustang Panda phishing-lokmiddelen naar Europese entiteiten, waarbij kwaadaardige bestanden in de e-mails worden toegevoegd met namen die een soort belangrijke informatie of urgentie suggereren. Het rapport van Google vermeldt bijlagen met bestandsnamen zoals "Situatie aan de EU-grenzen met Oekraïne.zip". De bijlage zou een uitvoerbaar bestand bevatten dat werkt als een downloader voor de uiteindelijke lading.

De Threat Analysis Group van Google heeft al de nodige regelingen getroffen en heeft alle entiteiten en autoriteiten in de landen waarop de phishing-campagnes gericht zijn op de hoogte gebracht.