Een breed scala aan bedreigingsactoren, waaronder Fancy Bear, Ghostwriter en Mustang Panda, hebben phishing-campagnes gelanceerd tegen Oekraïne, Polen en andere Europese entiteiten tijdens de Russische invasie van Oekraïne.
De Threat Analysis Group (TAG) van Google zei dat het twee Blogspot-domeinen heeft verwijderd die werden gebruikt door de natiestaatgroep FancyBear (ook bekend als APT28) – die wordt toegeschreven aan de Russische militaire inlichtingendienst GRU – als landingspagina voor zijn social engineering-aanvallen.
De onthulling komt dicht op de hielen van een advies van het Computer Emergency Response Team van Oekraïne (CERT-UA) dat waarschuwt voor phishing-campagnes gericht op Ukr.net-gebruikers waarbij berichten worden verzonden van gecompromitteerde accounts met links naar door aanvallers gecontroleerde pagina’s voor het verzamelen van inloggegevens.
Een ander cluster van bedreigingsactiviteiten betreft webmailgebruikers van Ukr.net, Yandex.ru, wp.pl, rambler.ru, meta.ua en i.ua, die aan de ontvangende kant waren van phishing-aanvallen door een Wit-Russische bedreigingsactor die werd gevolgd als Ghostwriter (ook bekend als UNC1151).
De hackgroep “voerde de afgelopen week ook phishing-campagnes met referenties tegen Poolse en Oekraïense regerings- en militaire organisaties”, zegt Shane Huntley, directeur van Google TAG. zei in een rapport.
Maar het zijn niet alleen Rusland en Wit-Rusland die hun zinnen hebben gezet op Oekraïne en Europa. Inbegrepen in de mix is een in China gevestigde dreigingsactor die bekend staat als Mustang Panda (ook bekend als TA416 of RedDelta) en probeert malware te planten in “gerichte Europese entiteiten met kunstaas in verband met de Oekraïense invasie”.
De bevindingen werden ook afzonderlijk bevestigd door het beveiligingsbedrijf Proofpoint, dat: gedetailleerd een meerjarige TA416-campagne tegen diplomatieke entiteiten in Europa die begin november 2021 begint, waarbij op 28 februari 2022 een “persoon betrokken bij vluchtelingen- en migrantendiensten” wordt geteld.
De infectiereeks omvatte het insluiten van een kwaadaardige URL in een phishingbericht met behulp van een gecompromitteerd e-mailadres van een diplomaat uit een Europees NAVO-land, die, wanneer erop werd geklikt, een archiefbestand afleverde met daarin een dropper die op zijn beurt een lokdocument downloadde om de PlugX-malware in de laatste fase.
De onthullingen komen als een stortvloed van gedistribueerde denial-of-service (DDoS)-aanvallen die tal van sites in Oekraïne hebben gebombardeerd, zoals die van het ministerie van Defensie, Buitenlandse Zaken, Binnenlandse Zaken en diensten zoals Liveuamap.
“Russische hackers vallen non-stop Oekraïense informatiebronnen aan”, zegt de Staatsdienst voor Speciale Communicatie en Informatiebescherming van Oekraïne (SSSCIP) zei in een tweet van het weekend.
“De machtigste [DDoS] aanvallen overschreden 100 Gbps op hun hoogtepunt. Ondanks alle betrokken vijandelijke middelen zijn de locaties van de centrale overheidsinstanties beschikbaar.”
In een verwante ontwikkeling, het anonieme hackcollectief beweerde dat het de website van de Federale Veiligheidsdienst van Rusland heeft verwijderd en dat het de live-feeds van verschillende Russische tv-zenders en streamingdiensten zoals Wink, Ivi, Rusland 24, Channel One en Moskou 24 heeft onderbroken om oorlogsbeelden uit Oekraïne uit te zenden.
De golf van tegenaanvallen tegen Rusland is verzinkt door de vorming van een IT-leger, een crowdsourced Oekraïens overheidsinitiatief dat vertrouwt op digitale oorlogsvoering om de Russische regering en militaire doelen te verstoren.
De ontwikkeling volgt ook op het besluit van Rusland om Facebook te verbieden en andere veelgebruikte sociale-mediaplatforms in het land te beperken, net zoals technologiebedrijven uit de VS zijn overgegaan om de banden met Rusland effectief te verbreken. een ijzeren gordijn maken en het beperken van online toegang.
