Rosyjscy hakerzy wykorzystują fałszywe zalecenia aktualizacji Windows do ataków na ukraiński rząd

30 kwietnia 20232 maja 2023 Rafał Skrzypek aktualizacja, CERT-UA, phishing, Rosja, Ukraina

Computer Emergency Response Team of Ukraine (CERT-UA) twierdzi, że rosyjscy hakerzy wysyłają do różnych organów rządowych w tym kraju złośliwe wiadomości e-mail zawierające instrukcje dotyczące aktualizacji systemu Windows jako obrony przed cyberatakami.

CERT-UA uważa, że sponsorowana przez państwo rosyjskie grupa APT28 (nazywana też Fancy Bear) wysłała te e-maile i podszyła się pod administratorów systemów rządowych, aby ułatwić oszukanie swoich celów. Napastnicy stworzyli w tym celu adresy e-mail w domenie @outlook.com przy użyciu prawdziwych nazwisk pracowników – nie wiadomo, jak je zdobyli.

ataki-phishingowe-bialorusi-i-rosji-polska-ukraina hakerzy

Zamiast instrukcji dotyczących aktualizacji systemów Windows, złośliwe wiadomości e-mail zalecają odbiorcom uruchomienie polecenia PowerShell. Polecenie to pobiera na komputer skrypt, symulując proces aktualizacji systemu Windows, jednocześnie pobierając w tle złośliwy kod.

To narzędzie do zbierania informacji, które używa poleceń „tasklist” i „systeminfo” w celu zebrania danych i wysłania ich do usługi API Mocky za pomocą żądania HTTP. Mocky jest legalną aplikacją, która pomaga użytkownikom w generowaniu niestandardowych odpowiedzi HTTP, ale w tym przypadku APT28 wykorzystał je do eksfiltracji danych.

CERT-UA zaleca administratorom systemów ograniczenie możliwości uruchamiania PowerShella na krytycznych maszynach oraz monitorowanie ruchu sieciowego pod kątem połączeń z API usługi Mocky.

Atak malware Emotet na Narodowe Centrum Ochrony Zdrowia Publicznego Litwy

Rosyjscy hakerzy są głównym zagrożeniem dla ukraińskiej infrastruktury IT

Threat Analysis Group firmy Google poinformowała niedawno, że około 60% wszystkich e-maili phishingowych skierowanych na Ukrainę w pierwszym kwartale 2023 r. wysłali rosyjscy hakerzy, a grupa APT28 była w tym czasie jednym z najpoważniejszych źródeł.

Na początku miesiąca amerykańskie i brytyjskie służby wywiadowcze oraz Cisco ostrzegły, że APT28 aktywnie wykorzystuje lukę „zero day” w routerach tej firmy w celu rozpowszechniania złośliwego oprogramowania o nazwie „Jaguar Tooth” – służyło ono do zbierania informacji wywiadowczych z celów zlokalizowanych na terenie USA i UE.

Premia świąteczna w GoDaddy okazała się testem odporności na phishing

W marcu 2023 r. Microsoft załatał lukę zero-day w Outlooku, oznaczoną jako CVE-2023-23397, którą hakerzy z APT28 wykorzystywali od kwietnia 2022 r. do przełamania zabezpieczeń sieci europejskich podmiotów rządowych, wojskowych, energetycznych i transportowych.

W ubiegłym roku chińscy hakerzy również wykorzystywali aktualizacje systemu Windows jako przynętę do rozsyłania złośliwych plików wykonywalnych w atakach na rosyjskie agencje rządowe.

Źródło: Bleeping Computer

Rafał Skrzypek

Miłośnik nowoczesnych technologii, głównie nowych rozwiązań IT. Redaktor w czasopismach Gambler, Enter, PC Kurier, Telecom Forum, Secret Service, Click!, Komputer Świat Gry, Play, GameRanking. Wiele lat spędził w branży tłumaczeniowej – głównie gier i programów użytkowych. W wolnych chwilach lata szybowcem, jeździ na rowerze i pochłania duże ilości książek.