Microsoft heeft donderdag bekendgemaakt dat het een gerechtelijk bevel heeft verkregen om de controle over zeven domeinen over te nemen die worden gebruikt door APT28, een door de staat gesponsorde groep die wordt beheerd door de Russische militaire inlichtingendienst, met als doel de aanvallen op Oekraïne te neutraliseren.
“Sindsdien hebben we deze domeinen omgeleid naar een sinkhole die wordt beheerd door Microsoft, waardoor we het huidige gebruik van deze domeinen door Strontium kunnen verminderen en slachtoffermeldingen mogelijk kunnen maken”, zegt Tom Burt, Corporate Vice President Customer Security and Trust bij Microsoft. zei.
APT28, ook bekend onder de namen Sofacy, Sednit, Pawn Storm, Fancy Bear, Iron Twilight en Strontium, is een cyberspionagegroep en een geavanceerde aanhoudende dreiging waarvan bekend is dat deze sinds 2009 actief is, waarbij media, regeringen, militairen en internationale niet-gouvernementele organisaties (NGO’s) worden getroffen die vaak een veiligheidsfocus hebben.
De technologiegigant merkte op dat de sinkhole-infrastructuur door de dreigingsactor werd gebruikt om Oekraïense instellingen aan te vallen, evenals regeringen en denktanks in de VS en de Europese Unie om langdurige toegang te behouden en gevoelige informatie te exfiltreren.
Meta onderneemt actie tegen Ghostwriter en Phosphorus
De onthulling van Microsoft komt op het moment dat Meta, het bedrijf dat voorheen bekend stond als Facebook, bekendmaakte dat het actie heeft ondernomen tegen geheime vijandige netwerken afkomstig uit Azerbeidzjan en Iran op zijn platform, door de accounts te verwijderen en te voorkomen dat hun domeinen worden gedeeld.
De Azerbeidzjaanse operatie wordt verondersteld democratieactivisten, oppositiegroeperingen en journalisten uit het land en regeringscritici in het buitenland te hebben uitgekozen voor het uitvoeren van phishing- en spionageactiviteiten met referenties.
Een andere betrof UNC788 (ook bekend als Charming Kitten, TA453 of Phosphorus), een aan de overheid gelieerde hackploeg die een geschiedenis heeft van het uitvoeren van bewakingsoperaties ter ondersteuning van Iraanse strategische prioriteiten.
“Deze groep gebruikte een combinatie van weinig geavanceerde nepaccounts en meer uitgebreide fictieve persona’s, die ze waarschijnlijk gebruikten om vertrouwen op te bouwen bij potentiële doelwitten en hen te misleiden om op phishing-links te klikken of kwaadaardige applicaties te downloaden”, schetste Meta in zijn eerste kwartaalbericht. Rapport van vijandige dreiging.
De kwaadaardige Android-applicaties, HilalRAT genaamd, imiteerden schijnbaar onschadelijke koran-apps om gevoelige informatie te extraheren, zoals contactenlijst, sms-berichten, bestanden, locatie-informatie, en om camera en microfoon te activeren.
Meta zei ook dat het de kwaadaardige activiteiten blokkeerde die verband houden met een niet-gerapporteerde Iraanse hackgroep die tactieken gebruikte die vergelijkbaar waren met die van Tortoiseshell om bedrijven in de energie-, IT-, maritieme logistiek-, halfgeleider- en telecomindustrieën aan te vallen of te spoofen.
Deze campagne bevatte een uitgebreide reeks nepprofielen op Instagram, LinkedIn, Facebook en Twitter, waarbij de acteurs zich voordeden als recruiters van echte en frontbedrijven om gebruikers te misleiden om op phishing-links te klikken om informatie te stelen, malware die was vermomd als VPN, rekenmachine , audioboek- en berichten-apps.
“Ze ontwikkelden malware op het VMWare ThinApp-virtualisatieplatform, waardoor ze het op veel verschillende systemen konden uitvoeren en kwaadaardige lading tot het laatste moment konden vasthouden, waardoor malwaredetectie moeilijker werd”, legt Meta uit.
Ten slotte werden ook overnamepogingen gedaan door de aan Wit-Rusland gelieerde Ghostwriter-groep om door Meta te worden verstoord inbreken in de Facebook-accounts van tientallen Oekraïense militairen.
De aanvallen, die in “een handvol gevallen” succesvol waren, misbruikten de toegang tot sociale media-accounts van slachtoffers en plaatsten desinformatie “waarbij het leger werd opgeroepen zich over te geven alsof deze berichten afkomstig waren van de legitieme accounteigenaren.”
