APT28 prende di mira le entità governative ucraine con false e-mail di “Windows Update”

Silvia Felici : 8 Maggio 2023 14:02

L’attacco mira a vari organi governativi dell’Ucraina. L’agenzia ha attribuito questa campagna di phishing ad APT28, un gruppo noto anche come Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit e Sofacy.

Secondo quanto riferito, i messaggi di posta elettronica hanno come oggetto “Windows Update” e contengono presunte istruzioni in lingua ucraina per eseguire un comando PowerShell, con il pretesto di aggiornamenti di sicurezza.

L’esecuzione dello script carica ed esegue uno script di PowerShell della fase successiva, progettato per raccogliere informazioni dal sistema di base tramite comandi come tasklist e systeminfo per esfiltrare i dettagli tramite una richiesta HTTP a un’API Mocky.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Per convincere gli obiettivi ad eseguire le azioni, le e-mail hanno impersonato gli amministratori di sistema delle entità governative prese di mira, utilizzando falsi account di posta elettronica di Microsoft Outlook creati con i nomi e le iniziali reali dei dipendenti.

CERT-UA ha raccomandato alle organizzazioni di limitare la capacità degli utenti di eseguire script PowerShell e di monitorare le connessioni di rete all’API Mocky.

La divulgazione dell’attacco arriva dopo che APT28 è stato collegato ad attacchi che sfruttavano difetti di sicurezza ora corretti nelle apparecchiature di rete per condurre ricognizioni e distribuire malware contro obiettivi selezionati.

Il Threat Analysis Group (TAG) di Google ha anche pubblicato un avviso il mese scorso, dettagliando un’operazione di raccolta delle credenziali effettuata dall’autore della minaccia per reindirizzare i visitatori dei siti web del governo ucraino a domini di phishing.

I gruppi di hacker russi sono stati anche collegati allo sfruttamento di un difetto critico di escalation dei privilegi in Microsoft Outlook (CVE-2023-23397, punteggio CVSS: 9.8) in intrusioni dirette contro il governo, i trasporti, l’energia e i settori militari in Europa.

Inoltre, Fortinet FortiGuard Labs ha scoperto un attacco di phishing in più fasi che sfrutta un documento Word presumibilmente dall’Energoatom ucraino come esca per fornire il framework post-sfruttamento Havoc open source.

Secondo Recorded Future, una società di sicurezza informatica, “resta molto probabile che i servizi di intelligence, militari e delle forze dell’ordine russi abbiano un’intesa tacita di lunga data con gli attori delle minacce informatiche“.

“In alcuni casi, è quasi certo che queste agenzie mantengano una relazione consolidata e sistematica con gli attori delle minacce criminali informatiche, tramite collaborazione indiretta o tramite reclutamento“.

Fonte Thehackernews

Silvia Felici
Red Hot Cyber Security Advisor, SEO, Open Source e Supply chain network. Attualmente presso FiberCop S.p.A. come Network Operations Specialist.

Lista degli articoli
Visita il sito web dell'autore