กลุ่ม APT ของรัสเซียเพิ่มการโจมตีทางไซเบอร์ในยูเครน

ในขณะที่สงครามในยูเครนกำลังคืบคลานเข้ามา ด้วยการเตรียมการหยุดยิงในปัจจุบันและความพยายามในการอพยพพลเมืองอย่างปลอดภัย ความขัดแย้งยังคงโหมกระหน่ำในโลกไซเบอร์ ตามรายงานของกลุ่มวิเคราะห์ภัยคุกคามของ Google APT สองแห่งที่สนับสนุนรัฐบาลรัสเซียกำลังโจมตีเป้าหมายของยูเครน และชุดจีนหนึ่งชุดกำลังใช้สถานการณ์ปัจจุบันเพื่อโจมตีเป้าหมายของยุโรป

รัสเซียและจีน APTs กำหนดเป้าหมายยูเครนยุโรป

หน่วยงานที่สนับสนุนรัสเซีย 2 แห่งที่ Google เน้นย้ำว่าเป็นหัวหอกในการโจมตีทางไซเบอร์ในปัจจุบันต่อเป้าหมายของยูเครน ได้แก่ Fancy Bear หรือที่รู้จักในชื่อ APT28 และ Ghostwriter ซึ่งเป็นกลุ่มภัยคุกคามต่อเนื่องที่เชื่อมโยงกับเบลารุสในปลายปี 2564

Google ยังรายงานกิจกรรมที่เพิ่มขึ้นของ APT ที่เรียกว่ามัสแตงแพนด้าซึ่งเชื่อมโยงกับนักแสดงชาวจีน ขณะนี้ ชุดจีนกำลังกำหนดเป้าหมายไปยังหน่วยงานที่อยู่ในยุโรป โดยใช้เหยื่อล่อฟิชชิ่งที่เกี่ยวข้องกับความขัดแย้งและการไหลทะลักของผู้ลี้ภัยในหลายประเทศในยุโรป

การโจมตีแบบฟิชชิ่งที่เปิดตัวโดย APT โปรรัสเซียใช้ที่อยู่อีเมลที่ถูกบุกรุกก่อนหน้านี้และเปลี่ยนเส้นทางผู้ที่อาจเป็นเหยื่อไปยังหน้าที่ควบคุมโดย APT ซึ่งส่วนใหญ่เป็นกระบวนการฟิชชิ่งมาตรฐาน Google พบ Ghostwriter เปิดตัวแคมเปญฟิชชิ่งกับหน่วยงานทางการทหารและรัฐบาลของยูเครนและโปแลนด์

Google รายงานว่าโดเมนจำนวนหนึ่งที่ใช้สำหรับฟิชชิ่งข้อมูลประจำตัวถูกบล็อกผ่านฟังก์ชัน "การเรียกดูอย่างปลอดภัย" ของ Google แล้ว โดเมนรวมชื่อที่ผิดปกติเช่น "i dot ua-passport dot top" และ "login dot credentials-email dot space"

Mustang Panda ใช้ประโยชน์จากสถานการณ์ผู้ลี้ภัยในปัจจุบัน

ในขณะเดียวกัน Mustang Panda ของจีนกำลังส่งฟิชชิ่งล่อไปยังหน่วยงานในยุโรป โดยแนบไฟล์ที่เป็นอันตรายในอีเมลพร้อมชื่อที่บ่งบอกถึงข้อมูลสำคัญหรือความเร่งด่วนบางอย่าง รายงานของ Google ระบุไฟล์แนบที่มีชื่อไฟล์ เช่น "สถานการณ์ที่ชายแดนสหภาพยุโรปกับ Ukraine.zip" ไฟล์แนบจะมีไฟล์ปฏิบัติการที่ทำหน้าที่เป็นตัวดาวน์โหลดสำหรับเพย์โหลดสุดท้าย

กลุ่มวิเคราะห์ภัยคุกคามของ Google ได้เตรียมการที่จำเป็นแล้ว และได้แจ้งหน่วยงานและหน่วยงานทั้งหมดในประเทศที่กำหนดเป้าหมายโดยแคมเปญฟิชชิ่ง