Ruske skupine APT krepijo kibernetske napade na Ukrajino

Ko vojna v Ukrajini uhaja in teče, z današnjimi dogovori o premirju in prizadevanjih za varno evakuacijo civilnega prebivalstva konflikt še vedno divja v kibernetskem prostoru. Po poročilih Googlove skupine za analizo groženj dva APT , ki podpirata rusko vlado, napadata ukrajinske cilje, ena kitajska enota pa trenutno situacijo uporablja za napad na evropske cilje.

Ruski in kitajski APT ciljajo na Ukrajino, Evropo

Dve proruski subjekti, ki jih Google izpostavlja kot vodilni v trenutnih kibernetskih napadih na ukrajinske cilje, sta Fancy Bear, znan tudi kot APT28 , in Ghostwriter – aktivna skupina za vztrajne grožnje, ki je bila konec leta 2021 povezana z Belorusijo.

Google poroča tudi o porastu aktivnosti APTMustang Panda, ki je povezan s kitajskimi igralci. Kitajska skupina trenutno cilja na subjekte s sedežem v Evropi, pri čemer uporablja lažne vabe, ki so povezane s nenehnim konfliktom in pritokom beguncev v številnih evropskih državah.

Napadi z lažnim predstavljanjem, ki jih sprožijo proruski APT, uporabljajo predhodno ogrožene e-poštne naslove in preusmerjajo potencialne žrtve na strani, ki jih nadzoruje APT – večinoma standardni postopek lažnega predstavljanja. Google je opazil, da je Ghostwriter sprožil kampanje lažnega predstavljanja proti ukrajinskim in poljskim vojaškim in vladnim subjektom.

Google je poročal, da so bile številne domene, ki se uporabljajo za lažno predstavljanje poverilnic, že blokirane z Googlovo funkcijo "varnega brskanja". Domene so vključevale nenavadna imena, kot sta "i dot ua-passport dot top" in "login dot credentials-email dot space".

Mustang Panda izkorišča trenutne begunske razmere

Medtem kitajska Mustang Panda pošilja vabe za lažno predstavljanje evropskim subjektom in v e-poštna sporočila prilaga zlonamerne datoteke z imeni, ki nakazujejo na nekatere pomembne informacije ali nujnost. Googlovo poročilo omenja priloge z imeni datotek, kot je "Situation at the EU boundary with Ukraine.zip". Priloga bi vsebovala izvedljivo datoteko, ki deluje kot prenosnik za končno koristno obremenitev.

Googlova skupina za analizo groženj je že sprejela potrebne dogovore in obvestila vse subjekte in organe v državah, na katere ciljajo kampanje lažnega predstavljanja.