Rosyjscy hakerzy wykorzystują fałszywe zalecenia aktualizacji Windows do ataków na ukraiński rząd

itbiznes.pl 1 rok temu
Zdjęcie: hakerskie-narzedzie-nsa-uzywane-przez-cyberprzestepcow-z-chin-od-2014-roku


Computer Emergency Response Team of Ukraine (CERT-UA) twierdzi, iż rosyjscy hakerzy wysyłają do różnych organów rządowych w tym kraju złośliwe wiadomości e-mail zawierające instrukcje dotyczące aktualizacji systemu Windows jako obrony przed cyberatakami.

CERT-UA uważa, iż sponsorowana przez państwo rosyjskie grupa APT28 (nazywana też Fancy Bear) wysłała te e-maile i podszyła się pod administratorów systemów rządowych, aby ułatwić oszukanie swoich celów. Napastnicy stworzyli w tym celu adresy e-mail w domenie @outlook.com przy użyciu prawdziwych nazwisk pracowników – nie wiadomo, jak je zdobyli.

Zamiast instrukcji dotyczących aktualizacji systemów Windows, złośliwe wiadomości e-mail zalecają odbiorcom uruchomienie polecenia PowerShell. Polecenie to pobiera na komputer skrypt, symulując proces aktualizacji systemu Windows, jednocześnie pobierając w tle złośliwy kod.

To narzędzie do zbierania informacji, które używa poleceń „tasklist” i „systeminfo” w celu zebrania danych i wysłania ich do usługi API Mocky dzięki żądania HTTP. Mocky jest legalną aplikacją, która pomaga użytkownikom w generowaniu niestandardowych odpowiedzi HTTP, ale w tym przypadku APT28 wykorzystał je do eksfiltracji danych.

CERT-UA zaleca administratorom systemów ograniczenie możliwości uruchamiania PowerShella na krytycznych maszynach oraz monitorowanie ruchu sieciowego pod kątem połączeń z API usługi Mocky.

Rosyjscy hakerzy są głównym zagrożeniem dla ukraińskiej infrastruktury IT

Threat Analysis Group firmy Google poinformowała niedawno, iż około 60% wszystkich e-maili phishingowych skierowanych na Ukrainę w pierwszym kwartale 2023 r. wysłali rosyjscy hakerzy, a grupa APT28 była w tym czasie jednym z najpoważniejszych źródeł.

Na początku miesiąca amerykańskie i brytyjskie służby wywiadowcze oraz Cisco ostrzegły, iż APT28 aktywnie wykorzystuje lukę „zero day” w routerach tej firmy w celu rozpowszechniania złośliwego systemu o nazwie „Jaguar Tooth” – służyło ono do zbierania informacji wywiadowczych z celów zlokalizowanych na terenie USA i UE.

W marcu 2023 r. Microsoft załatał lukę zero-day w Outlooku, oznaczoną jako CVE-2023-23397, którą hakerzy z APT28 wykorzystywali od kwietnia 2022 r. do przełamania zabezpieczeń sieci europejskich podmiotów rządowych, wojskowych, energetycznych i transportowych.

Wy ubiegłym roku chińscy hakerzy również wykorzystywali aktualizacje systemu Windows jako przynętę do rozsyłania złośliwych plików wykonywalnych w atakach na rosyjskie agencje rządowe.

Idź do oryginalnego materiału