Ryska APT-grupper intensifierar cyberattacker mot Ukraina

När kriget i Ukraina ebbar ut och flödar, med dagens arrangemang för vapenvila och ansträngningar för att säkert evakuera civilbefolkningen, pågår konflikten fortfarande i cyberrymden. Enligt rapporter från Googles Threat Analysis Group attackerar två APT:er som stöder den ryska regeringen ukrainska mål och en kinesisk utrustning använder den nuvarande situationen för att slå till mot europeiska mål.

Ryska och kinesiska APT:er riktar sig till Ukraina, Europa

De två pro-ryska enheter som Google lyfter fram som spjutspetsar för de nuvarande cyberattackerna mot ukrainska mål är Fancy Bear, även känd som APT28 , och Ghostwriter – en aktiv ihållande hotgrupp som kopplades till Vitryssland i slutet av 2021.

Google rapporterar också en ökning av aktiviteten hos APT som kallasMustang Panda, som är kopplad till kinesiska skådespelare. Den kinesiska outfiten riktar sig för närvarande till enheter baserade i Europa och använder nätfiske som är relaterade till den pågående konflikten och flyktingströmmen i ett antal europeiska länder.

Nätfiskeattacker som lanserats av pro-ryska APT:er använder tidigare komprometterade e-postadresser och omdirigerar potentiella offer till sidor som kontrolleras av APT - till stor del standard nätfiskeprocedur. Google såg att Ghostwriter lanserade nätfiskekampanjer mot både ukrainska och polska militära och statliga enheter.

Google rapporterade att ett antal domäner som används för lösenordsfiske redan har blockerats genom Googles funktion för "säker surfning". Domänerna innehöll ovanliga namn som "i dot ua-passport dot top" och "login dot credentials-email dot space".

Mustang Panda utnyttjar den nuvarande flyktingsituationen

Samtidigt skickar Kinas Mustang Panda ut nätfiskedrag till europeiska enheter och bifogar skadliga filer i e-postmeddelanden med namn som tyder på någon slags viktig information eller brådska. Googles rapport nämner bilagor med filnamn som "Situation vid EU:s gränser med Ukraine.zip". Bilagan skulle innehålla en körbar fil som fungerar som en nedladdare för den slutliga nyttolasten.

Googles Threat Analysis Group har redan vidtagit de nödvändiga arrangemangen och har meddelat alla enheter och myndigheter i de länder som riktas mot nätfiskekampanjerna.