Хакеры атаковали правительство Украины вредоносными электронными письмами «Центр обновления Windows»
Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) выпустила предупреждение о кибератаках, направленных на несколько правительственных учреждений в стране, осуществляемых спонсируемыми российским государством хакерами.
Фишинговая кампания была связана с APT28, группой, которая действует под различными псевдонимами, такими как Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit и Sofacy.
В рамках своей операции злоумышленники использовали подлинные имена сотрудников, полученные ими нераскрытыми методами, для создания @outlook.com адреса электронной почты на начальных этапах атаки.
Вместо предоставления законных инструкций по обновлению систем Windows вредоносные электронные письма вместо этого советуют получателям выполнить команду PowerShell.
Письма имеют тему «Центр обновления Windows» и включать инструкции на украинском языке, предписывающие получателю запустить команду PowerShell под видом установки обновлений безопасности.
После запуска команды загружается и выполняется последующий сценарий PowerShell, который собирает основную информацию о системе с помощью таких команд, как «
список заданий" и "системная информация“.Собранные данные затем извлекаются с помощью HTTP-запроса к Mocky API.
В соответствии с ПипКомпьютер, который первым сообщил эту новость, Mocky API — это законное приложение, которое позволяет пользователям создавать собственные HTTP-ответы.
В данном случае APT28 воспользовался сервисом для кражи данных.
Чтобы предотвратить подобные атаки, CERT-UA советует системным администраторам ограничить возможность выполнения PowerShell на критически важных компьютерах и отслеживать сетевой трафик на предмет любых подключений к службе Mocky. API.
Чтобы обманом заставить жертвы выполнить команду PowerShell, в фишинговых письмах выдавали себя за системных администраторов целевой компании. государственные учреждения, использующие поддельные учетные записи электронной почты Microsoft Outlook, созданные с использованием подлинных имен сотрудников и инициалы.
Это дальнейшее закрепляет наше освещение из недавнего отчета группы анализа угроз Google, в котором подчеркивается, что примерно 60% всех фишинговых писем были направлены в сторону Украины в первом квартале 2023 года.
В отчете упоминается, что эти фишинговые электронные письма были отслежены российскими злоумышленниками, и особо выделяется APT28 как крупный виновник этой гнусной деятельности.
Связанный
Будьте в курсе последних технологических тенденций — доставка прямо на ваш почтовый ящик, бесплатно!
Хусейн работает в Интернете со времен коммутируемого доступа и любит писать обо всем, что касается техносферы. Он любит делать обзоры технологий, писать о VPN и освещать новости кибербезопасности.