Спонсируемая российским государством банда киберпреступников APT28, также известная как Fancy Bear, нацелена на украинские правительственные организации с помощью вредоносного ПО, скрытого в поддельных электронных письмах с обновлениями Windows. Фишинговые ссылки отправляются с адресов электронной почты Outlook, которые, как представляется, принадлежат сотрудникам государственных организаций в Украине.

Выпущена Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) предупреждение относительно нападений, пояснив, что они имели место в течение апреля.

APT28 атаковал украинское правительство

Электронные письма будут содержать строку темы «Центр обновления Windows» с адресов электронной почты, созданных в службе веб-почты Outlook, но с использованием настоящих имен и инициалов сотрудников.

Образец письма, описанный CERT-UA, содержит инструкции на украинском языке для «обновлений для защиты от хакерских атак», а также изображения процесса запуска командной строки и выполнения ею команды оболочки.

«Упомянутая команда загрузит скрипт PowerShell, который, имитируя процесс обновления ОС, загрузит и запустит скрипт PowerShell, предназначенный для сбора базовой информации о компьютере с помощью команд «tasklist», «systeminfo»», — говорится в предупреждении. .

CERT-UA рекомендует любой организации, которая чувствует угрозу этих атак, ограничить возможность пользователей запускать PowerShell/

APT28 — хорошо зарекомендовавшая себя банда киберпреступников.

Российская киберпреступная группировка APT28, также известная как Fancy Bear, Pawn Storm, Sednit Gang и Sofacy, с 2014 года активно отслеживается охранными компаниями.

В последние месяцы он агрессивно атаковал Украину, а также организации в США и Европе, используя уязвимость в маршрутизаторах Cisco.

Контент от наших партнеров

А совместный совет Национальный центр кибербезопасности Великобритании, Агентство национальной безопасности, Агентство кибербезопасности и инфраструктуры и Федеральное бюро расследований объявили в прошлом месяце, что «известно, что APT28 получает доступ к уязвимым маршрутизаторам, используя строки сообщества SNMP по умолчанию и слабо, а также используя CVE-2017- 6742. »

Агентства кибербезопасности добавили, что, по их мнению, APT28 почти наверняка является частью российских сил безопасности, ГРУ.

Это типичные кибератаки, от которых Украина пострадала во время войны, пояснил Илья Витюк, начальник отдела информационной кибербезопасности Службы безопасности Украины. в интервью в прошлом месяце с CyberScoop.

«Более 90% всех кибератак, нацеленных на Украину, совершаются либо спецслужбами, либо спонсируемыми государством группами», — сказал Витюк. Далее он предположил, что пророссийские хактивисты не являются таким большим явлением, как до сих пор считали киберсообщество.

«Я считаю, что так называемого «хактивизма» в России вообще нет», — добавил Витюк.