Computer Emergency Response Team of Ukraine (CERT-UA) twierdzi, że rosyjscy hakerzy wysyłają do różnych organów rządowych w tym kraju złośliwe wiadomości e-mail zawierające instrukcje dotyczące aktualizacji systemu Windows jako obrony przed cyberatakami.
CERT-UA uważa, że sponsorowana przez państwo rosyjskie grupa APT28 (nazywana też Fancy Bear) wysłała te e-maile i podszyła się pod administratorów systemów rządowych, aby ułatwić oszukanie swoich celów. Napastnicy stworzyli w tym celu adresy e-mail w domenie @outlook.com przy użyciu prawdziwych nazwisk pracowników – nie wiadomo, jak je zdobyli.
Zamiast instrukcji dotyczących aktualizacji systemów Windows, złośliwe wiadomości e-mail zalecają odbiorcom uruchomienie polecenia PowerShell. Polecenie to pobiera na komputer skrypt, symulując proces aktualizacji systemu Windows, jednocześnie pobierając w tle złośliwy kod.
To narzędzie do zbierania informacji, które używa poleceń „tasklist” i „systeminfo” w celu zebrania danych i wysłania ich do usługi API Mocky za pomocą żądania HTTP. Mocky jest legalną aplikacją, która pomaga użytkownikom w generowaniu niestandardowych odpowiedzi HTTP, ale w tym przypadku APT28 wykorzystał je do eksfiltracji danych.
CERT-UA zaleca administratorom systemów ograniczenie możliwości uruchamiania PowerShella na krytycznych maszynach oraz monitorowanie ruchu sieciowego pod kątem połączeń z API usługi Mocky.
Rosyjscy hakerzy są głównym zagrożeniem dla ukraińskiej infrastruktury IT
Threat Analysis Group firmy Google poinformowała niedawno, że około 60% wszystkich e-maili phishingowych skierowanych na Ukrainę w pierwszym kwartale 2023 r. wysłali rosyjscy hakerzy, a grupa APT28 była w tym czasie jednym z najpoważniejszych źródeł.
Na początku miesiąca amerykańskie i brytyjskie służby wywiadowcze oraz Cisco ostrzegły, że APT28 aktywnie wykorzystuje lukę „zero day” w routerach tej firmy w celu rozpowszechniania złośliwego oprogramowania o nazwie „Jaguar Tooth” – służyło ono do zbierania informacji wywiadowczych z celów zlokalizowanych na terenie USA i UE.
W marcu 2023 r. Microsoft załatał lukę zero-day w Outlooku, oznaczoną jako CVE-2023-23397, którą hakerzy z APT28 wykorzystywali od kwietnia 2022 r. do przełamania zabezpieczeń sieci europejskich podmiotów rządowych, wojskowych, energetycznych i transportowych.
W ubiegłym roku chińscy hakerzy również wykorzystywali aktualizacje systemu Windows jako przynętę do rozsyłania złośliwych plików wykonywalnych w atakach na rosyjskie agencje rządowe.
Źródło: Bleeping Computer
Miłośnik nowoczesnych technologii, głównie nowych rozwiązań IT. Redaktor w czasopismach Gambler, Enter, PC Kurier, Telecom Forum, Secret Service, Click!, Komputer Świat Gry, Play, GameRanking. Wiele lat spędził w branży tłumaczeniowej – głównie gier i programów użytkowych. W wolnych chwilach lata szybowcem, jeździ na rowerze i pochłania duże ilości książek.