Grupa hakerów w przeszłości aktywnie atakowała Ukrainę, a ostatnio została również oskarżona o e-maile phishingowe. Amerykańskie i brytyjskie agencje wywiadowcze również niedawno ostrzegły, że APT28 wykorzystuje lukę dnia zerowego w celu instalowania złośliwego oprogramowania na routerach i zbierania informacji.

Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) poinformował, że rosyjscy hakerzy atakują różne agencje rządowe w kraju za pomocą złośliwych wiadomości e-mail, które rzekomo zawierają instrukcje dotyczące aktualizacji systemu Windows w celu obrony przed cyberatakami.

CERT-UA uważa, że ​​wspierana przez państwo rosyjska grupa hakerska APT28 (aka Fancy Bear) wysyłała te e-maile, podszywając się pod administratorów systemów atakowanych agencji rządowych, aby ułatwić oszukanie ich celów.

W tym celu osoby atakujące utworzyły adresy e-mail w domenie @outlook.com przy użyciu prawdziwych nazwisk pracowników, uzyskanych w nieznany sposób na etapach przygotowań do ataku.

Zamiast otrzymywania uzasadnionych instrukcji, jak zaktualizować systemy Windows, złośliwe e-maile doradzają odbiorcom uruchomienie wiersza poleceń PowerShell.

To polecenie pobiera skrypt programu PowerShell na komputer, który symuluje proces aktualizacji systemu Windows podczas pobierania drugiego ładunku programu PowerShell w tle.

Ładunek drugiego etapu to proste narzędzie do zbierania informacji, które nadużywa poleceń „tasklist” i „systeminfo” w celu zbierania danych i wysyłania ich do interfejsu API usługi Mocky za pośrednictwem żądania HTTP.

Mocky to legalna aplikacja, która pomaga użytkownikom generować niestandardowe odpowiedzi HTTP, które w tym przypadku APT28 wykorzystał do eksfiltracji danych.

CERT-UA zaleca administratorom systemu ograniczenie możliwości uruchamiania programu PowerShell na krytycznych komputerach i monitorowanie ruchu sieciowego pod kątem połączeń z interfejsem API Mocky Service.

Ataki APT28 na Ukrainę

Grupa analizy zagrożeń Google poinformowała niedawno, że około 60% wszystkich e-maili phishingowych skierowanych na Ukrainę w pierwszym kwartale 2023 r. pochodziło od rosyjskich cyberprzestępców, przy czym APT28 został wskazany jako kluczowy gracz w tej szkodliwej działalności.

Na początku tego miesiąca amerykańskie i brytyjskie agencje wywiadowcze oraz Cisco ostrzegła, że ​​APT28 aktywnie wykorzystuje lukę dnia zerowego w routerach firmy, aby instalować złośliwe oprogramowanie „Jaguar Tooth” i uzyskiwać informacje z USA oraz zbierać cele z UE.

W marcu 2023 r. Microsoft naprawił lukę dnia zerowego w Outlooku, śledzoną jako CVE-2023-23397, a APT28 używa jej od kwietnia 2022 r. do włamań do sieci europejskich organizacji rządowych, wojskowych, energetycznych i transportowych.

Co ciekawe, w ciągu ostatniego roku chińscy hakerzy wykorzystywali również aktualizacje systemu Windows jako przynętę do umieszczania złośliwych plików wykonywalnych w atakach na rosyjskie agencje rządowe.