Търсене
Close this search box.

Руските хакери от APT28 атакуват 13 държави в рамките на текуща кампания за кибершпионаж

Руският национален агент за заплахи, известен като APT28, е наблюдаван да използва примамки, свързани с продължаващата война между Израел и Хамас, за да улесни доставката на персонализирана задна врата, наречена HeadLace.

IBM X-Force проследява противника под името ITG05, който е известен още като BlueDelta, Fancy Bear, Forest Blizzard (по-рано Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy и TA422.

„Новооткритата кампания е насочена срещу цели, базирани в поне 13 държави по света, и използва автентични документи, създадени от академични, финансови и дипломатически центрове“, заявиха изследователите по сигурността Голо Мюр, Клер Забоева и Джо Фасуло.

„Инфраструктурата на ITG05 гарантира, че само цели от една конкретна държава могат да получат зловредния софтуер, което показва високоцелевия характер на кампанията.“

Целите на кампанията включват Унгария, Турция, Австралия, Полша, Белгия, Украйна, Германия, Азербайджан, Саудитска Арабия, Казахстан, Италия, Латвия и Румъния.

Кампанията включва използването на примамки, които имат за цел да откроят предимно европейски структури с „пряко влияние върху разпределянето на хуманитарна помощ“, като се използват документи, свързани с ООН, Банката на Израел, Изследователската служба на Конгреса на САЩ, Европейския парламент, украински мозъчен тръст и Междуправителствена комисия Азербайджан-Беларус.

Установено е, че при някои от атаките се използват архиви RAR, използващи дефекта в WinRAR, наречен CVE-2023-38831, за разпространение на HeadLace – задна врата, която за първи път беше разкрита от Екипа за реагиране при компютърни инциденти в Украйна (CERT-UA) при атаки, насочени към критичната инфраструктура в страната.

Струва си да се отбележи, че в края на септември 2023 г. Zscaler разкри подобна кампания, наречена Steal-It, която привличаше мишените със съдържание за възрастни, за да ги накара да се разделят с поверителна информация.

Разкритието идва седмица след като Microsoft, Palo Alto Networks Unit 42 и Proofpoint подробно описаха използването от страна на заплахата на критичен недостатък в сигурността на Microsoft Outlook (CVE-2023-23397, CVSS оценка: 9,8) за получаване на неоторизиран достъп до акаунтите на жертвите в сървърите Exchange.

Следователно разчитането на официални документи като примамка бележи отклонение от наблюдаваната преди това дейност, „което е показателно за засиления акцент на ITG05 върху уникална целева аудитория, чиито интереси биха подтикнали към взаимодействие с материали, оказващи влияние върху създаването на нови политики“.

„Много е вероятно компрометирането на който и да е ешелон на глобалните външнополитически центрове да подпомогне интересите на длъжностните лица с разширено вникване в критичната динамика, свързана с подхода на Международната общност (МС) към конкуриращите се приоритети за сигурност и хуманитарна помощ“, казват изследователите.

Разработката идва в момент, в който CERT-UA свързва субекта на заплаха, известен като UAC-0050, с масирана имейл базирана фишинг атака срещу Украйна и Полша, използваща Remcos RAT и Meduza Stealer.

 

 

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
30/03/2024

Свързаният със Северна Коре...

Свързаният със Северна Корея колектив, известен...
27/03/2024

И Финландия погна китайска...

Във вторник финландската полиция потвърди, че...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!