Ուկրաինայի Համակարգչային Արտակարգ Իրավիճակների հարցերով զբաղվող թիմը (CERT-UA) նախազգուշացրել է ռուսազգի հաքերների կողմից իրականացված կիբերհարձակումների մասին, որոնք ուղղված են երկրի տարբեր պետական մարմիններին և կառույցներին:
Հայտնաբերված ֆիշինգային արշավը վերագրել է APT28-ին, որը հայտնի է նաև Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit և Sofacy անվանումներով:
Արդյունքում էլ. փոստի հաղորդագրությունները գալիս են «Windows Update» վերնագրով և ենթադրաբար պարունակում են ուկրաիներեն լեզվով նշված որոշակի հրահանգներ՝ համակարգի անվտանգության պատրվակով PowerShell հրամանը գաղտնի կերպով գործարկելու համար:
Սկրիպտի գործարկումը կատարում է հաջորդ փուլով բեռնվող PowerShell-ը, որը նախատեսված է համակարգի հիմնական տեղեկությունները հավաքագրելու համար, ինչպիսիք են՝ առաջադրանքների ցանկը և համակարգային տվյալները: Արդյունքում HTTP հարցման միջոցով տվյալները փոխանցվում են Mocky API-ին:
CERT-UA-ը կազմակերպություններին խորհուրդ է տալիս սահմանափակել օգտատերերի հնարավորությունը և վերահսկել ցանցային կապը Mocky API-ի հետ:
Տվյալ բացահայտումն արձանագրվեց այն ժամանակ, երբ APT28-ը բախվեց որոշ հարձակումների, որոնք օգտագործում էին ցանցային սարքավորումների անվտանգության խոցելիությունը, որպեսզի համակարգերում տեղակայեին համապատասխան malware-ները:
Ընթացքը տրվեց հենց այն ժամանակ, երբ Fortinet FortiGuard Labs-ը բացահայտեց ֆիշինգային հարձակման մասին, որն ակտիվորեն օգտագործում էր macro-laced Word-ային փաստաթուղթը, որպես անմեղ թակարդ` open source Havoc post-exploitation framework-ը տարածելու համար:
«Շատ հավանական է, որ ռուսական ռազմական ծառայություններն ու իրավապահ մարմինները երկարատև և ստվերային համագործակցություն ունեն հաքերների հետ», – ասվում է կիբերանվտանգության Recorded Future ընկերության հրապարակած զեկույցում:
«Համանման գործակալությունները համակարգված հարաբերություններ են պահպանում հաքերների հետ՝ կա՛մ անուղղակի համագործակցության, կա՛մ հավաքագրման միջոցով»:
Աղբյուրը՝ https://thehackernews.com/
