Российские APT-группировки усиливают кибератаки на Украину

В то время как война в Украине прибывает и ослабевает, с сегодняшними договоренностями о прекращении огня и усилиями по безопасной эвакуации гражданского населения, конфликт все еще бушует в киберпространстве. Согласно отчетам группы анализа угроз Google, две ББТ , поддерживающие российское правительство, атакуют украинские цели, а одна китайская группа использует текущую ситуацию для нанесения ударов по европейским целям.

Российские и китайские APT нацелены на Украину и Европу

Две пророссийские организации, которые Google выделяет как инициаторов текущих кибератак на украинские цели, — это Fancy Bear, также известная как APT28 , и Ghostwriter — активная группа постоянных угроз, которая была связана с Беларусью в конце 2021 года.

Google также сообщает о всплеске активности APT под названиемМустанг Панда, который связан с китайскими актерами. Китайская организация в настоящее время нацелена на организации, базирующиеся в Европе, используя фишинговые приманки, связанные с продолжающимся конфликтом и притоком беженцев в ряд европейских стран.

Фишинговые атаки, запущенные пророссийскими APT, используют ранее скомпрометированные адреса электронной почты и перенаправляют потенциальных жертв на страницы, контролируемые APT — в основном стандартная процедура фишинга. Google обнаружил, что Ghostwriter запускает фишинговые кампании против украинских и польских военных и государственных структур.

Google сообщил, что ряд доменов, используемых для фишинга учетных данных, уже были заблокированы с помощью функции «безопасного просмотра» Google. Домены включали необычные имена, такие как «i dot ua-passport dot top» и «login dot учетные данные-email dot space».

Mustang Panda использует текущую ситуацию с беженцами

Между тем, китайский Mustang Panda рассылает фишинговые приманки европейским организациям, прикрепляя вредоносные файлы к электронным письмам с именами, указывающими на какую-то важную информацию или срочность. В отчете Google упоминаются вложения с именами файлов типа «Ситуация на границе ЕС с Украиной.zip». Вложение будет содержать исполняемый файл, который работает как загрузчик для окончательной полезной нагрузки.

Группа анализа угроз Google уже приняла необходимые меры и уведомила все организации и органы власти в странах, на которые направлены фишинговые кампании.