Екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) предупреди за кибератаки, извършени от хакери от руската държава, насочени към различни държавни органи в страната.

Агенцията приписва фишинг кампанията на APT28, която е известна още с имената Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit и Sofacy.

Имейл съобщенията идват с тема „Windows Update“ и уж съдържат инструкции на украински език за изпълнение на PowerShell команда под претекст за актуализации на сигурността.

Изпълнението на скрипта зарежда и изпълнява скрипт на следващ етап на PowerShell, който е предназначен за събиране на основна системна информация чрез команди като tasklist и systeminfo, и екфилтриране на данните чрез HTTP заявка към Mocky API.

За да подмамят мишените да изпълнят командата, имейлите се представят за системни администратори на целевите правителствени структури, като използват фалшиви имейл акаунти в Microsoft Outlook, създадени с истинските имена и инициали на служителите.

CERT-UA препоръчва на организациите да ограничат възможностите на потребителите да изпълняват скриптове PowerShell и да наблюдават мрежовите връзки към Mocky API.

Разкритието идва седмици след като APT28 беше свързана с атаки, използващи вече поправени пропуски в сигурността на мрежовото оборудване, за да извършва разузнаване и да разгръща зловреден софтуер срещу избрани цели.

В консултация, публикувана миналия месец, Групата за анализ на заплахите (TAG) на Google подробно описа операция за събиране на удостоверения, извършена от група с цел пренасочване на посетителите на украински правителствени уебсайтове към фишинг домейни.

Базираните в Русия хакерски екипи също така са свързани с използването на критичен недостатък за увеличаване на привилегиите в Microsoft Outlook (CVE-2023-23397, CVSS оценка: 9,8) при прониквания, насочени срещу правителствения, транспортния, енергийния и военния сектор в Европа.

Разработката идва в момент, когато Fortinet FortiGuard Labs разкри многоетапна фишинг атака, която използва документ на Word с макроси, за който се предполага, че е от украинската компания Energoatom, като примамка за предоставяне на рамката с отворен код Havoc за последващо експлоатиране.

„Остава много вероятно руските разузнавателни, военни и правоприлагащи служби да имат дългогодишно, негласно разбирателство с киберпрестъпни заплахи“, заяви в доклад по-рано тази година фирмата за киберсигурност Recorded Future.

„В някои случаи е почти сигурно, че тези служби поддържат установени и систематични отношения с участници в киберпрестъпни групи или чрез непряко сътрудничество, или чрез набиране на персонал.“

Източник: The Hacker News

Подобни публикации

15 юли 2025

Критични уязвимости в над 240 модела дънни плат...

Изследователи по фърмуерна сигурност алармираха, че десетки модели ...
15 юли 2025

Американски дипломати предупредени за ИИ фалшиф...

Държавният департамент на САЩ предупреди всички американски посолст...

Ще останат ли смартфоните в миналото?

С разширяването на възможностите на изкуствения интелект и стремежа...
14 юли 2025

Злонамерено разширение за Cursor AI IDE доведе ...

Фалшиво разширение за средата за разработка Cursor AI IDE, базирана...
14 юли 2025

Актуализация за Windows 10 нарушава функцията з...

След инсталиране на юлската актуализация KB5062554 за Windows 10, п...
14 юли 2025

Google Gemini податлив на скрити фишинг атаки ч...

Изследване, представено чрез програмата за уязвимости 0din на Mozil...
Бъдете социални
Още по темата
11/07/2025

Руски баскетболист арестува...

Руският професионален баскетболист Даниил Касаткин бе...
10/07/2025

Bitcoin Depot разкри пробив...

Операторът на биткойн банкомати Bitcoin Depot...
10/07/2025

САЩ наложиха санкции на сев...

Министерството на финансите на САЩ санкционира...
Последно добавени
15/07/2025

Критични уязвимости в над 2...

Изследователи по фърмуерна сигурност алармираха, че...
15/07/2025

Американски дипломати преду...

Държавният департамент на САЩ предупреди всички...
15/07/2025

Ще останат ли смартфоните в...

С разширяването на възможностите на изкуствения...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!