Російські групи APT посилюють кібератаки на Україну

Оскільки війна в Україні йде на відпливи та відпливи, із сьогоднішніми домовленостями про припинення вогню та зусиллями щодо безпечної евакуації мирного населення, конфлікт все ще кипить у кіберпросторі. Згідно з повідомленнями Google Threat Analysis Group, два APT , які підтримують російський уряд, атакують українські цілі, а один китайський підрозділ використовує поточну ситуацію для ударів по європейських цілях.

Російські та китайські APT націлені на Україну та Європу

Дві проросійські організації, які Google виділяє як ініціатори поточних кібератак на українські цілі, – це Fancy Bear, також відомий як APT28 , і Ghostwriter – активна група стійких загроз, яка була пов’язана з Білоруссю наприкінці 2021 року.

Google також повідомляє про зростання активності APTMustang Panda, який пов'язують з китайськими акторами. Зараз китайська організація націлена на організації, що базуються в Європі, використовуючи фішингові приманки, пов’язані з триваючим конфліктом і напливом біженців у низку європейських країн.

Фішингові атаки, запущені проросійськими APT, використовують раніше скомпрометовані адреси електронної пошти та перенаправляють потенційних жертв на сторінки, які контролюються APT – переважно стандартна процедура фішингу. Google помітила, що Ghostwriter запускає фішингові кампанії проти українських і польських військових і державних структур.

Google повідомила, що ряд доменів, які використовуються для фішингу облікових даних, уже заблоковано за допомогою функції «безпечного перегляду» Google. Домени включали незвичайні назви, такі як "i dot ua-passport dot top" і "login dot credentials-email dot space".

Mustang Panda використовує поточну ситуацію з біженцями

Тим часом китайський Mustang Panda розсилає фішингові приманки європейським організаціям, вкладаючи шкідливі файли в електронні листи з іменами, які вказують на якусь важливу інформацію або терміновість. У звіті Google згадуються вкладення з іменами файлів на кшталт «Ситуація на кордонах ЄС з Україною.zip». Вкладений файл міститиме виконуваний файл, який працює як завантажувач для остаточного корисного навантаження.

Група аналізу загроз Google уже вжила необхідні заходи та сповістила всі організації та органи в країнах, на які спрямовані фішингові кампанії.