Computer Security Rosyjskie grupy APT intensyfikują cyberataki na Ukrainę

Rosyjskie grupy APT intensyfikują cyberataki na Ukrainę

Podczas gdy wojna na Ukrainie przybiera na sile, przy dzisiejszych porozumieniach o zawieszeniu broni i wysiłkach na rzecz bezpiecznej ewakuacji ludności cywilnej, konflikt nadal szaleje w cyberprzestrzeni. Według raportów Grupy Analizy Zagrożeń Google, dwa APT wspierające rosyjski rząd atakują cele ukraińskie, a jeden chiński oddział wykorzystuje obecną sytuację do ataku na cele europejskie.

Rosyjskie i chińskie APT są kierowane na Ukrainę i Europę

Dwa prorosyjskie podmioty, które Google wyróżnia jako stojące na czele obecnych cyberataków na ukraińskie cele, to Fancy Bear, znany również jako APT28 i Ghostwriter – aktywna, utrzymująca się grupa zagrożeń, która była powiązana z Białorusią pod koniec 2021 roku.

Google zgłasza również wzrost aktywności APT o nazwieMustang Panda, który jest powiązany z chińskimi aktorami. Chińska firma atakuje obecnie podmioty z Europy, wykorzystując przynęty phishingowe związane z trwającym konfliktem i napływem uchodźców w wielu krajach europejskich.

Ataki phishingowe przeprowadzane przez prorosyjskie APT wykorzystują wcześniej zhakowane adresy e-mail i przekierowują potencjalne ofiary na strony kontrolowane przez APT – w dużej mierze standardową procedurę phishingową. Google zauważył, że Ghostwriter rozpoczyna kampanie phishingowe przeciwko zarówno ukraińskim, jak i polskim jednostkom wojskowym i rządowym.

Google poinformowało, że wiele domen wykorzystywanych do phishingu poświadczeń zostało już zablokowanych przez funkcję „bezpiecznego przeglądania” Google. Domeny zawierały nietypowe nazwy, takie jak „i dot ua-passport dot top” i „login dot referencje-email dot space”.

Mustang Panda wykorzystuje obecną sytuację uchodźców

W międzyczasie chiński Mustang Panda wysyła do europejskich podmiotów przynęty phishingowe, dołączając do e-maili złośliwe pliki z nazwami sugerującymi jakąś ważną informację lub pilną potrzebę. Raport Google wspomina o załącznikach z nazwami plików takimi jak „Sytuacja na granicach UE z Ukraine.zip”. Załącznik zawierałby plik wykonywalny, który działa jako narzędzie do pobierania końcowego ładunku.

Grupa Analizy Zagrożeń Google poczyniła już niezbędne ustalenia i powiadomiła wszystkie podmioty i władze w krajach, na które są kierowane kampanie phishingowe.

Ładowanie...