L’attacco mira a vari organi governativi dell’Ucraina. L’agenzia ha attribuito questa campagna di phishing ad APT28, un gruppo noto anche come Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit e Sofacy.
Secondo quanto riferito, i messaggi di posta elettronica hanno come oggetto “Windows Update” e contengono presunte istruzioni in lingua ucraina per eseguire un comando PowerShell, con il pretesto di aggiornamenti di sicurezza.
L’esecuzione dello script carica ed esegue uno script di PowerShell della fase successiva, progettato per raccogliere informazioni dal sistema di base tramite comandi come tasklist e systeminfo per esfiltrare i dettagli tramite una richiesta HTTP a un’API Mocky.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Per convincere gli obiettivi ad eseguire le azioni, le e-mail hanno impersonato gli amministratori di sistema delle entità governative prese di mira, utilizzando falsi account di posta elettronica di Microsoft Outlook creati con i nomi e le iniziali reali dei dipendenti.
CERT-UA ha raccomandato alle organizzazioni di limitare la capacità degli utenti di eseguire script PowerShell e di monitorare le connessioni di rete all’API Mocky.
La divulgazione dell’attacco arriva dopo che APT28 è stato collegato ad attacchi che sfruttavano difetti di sicurezza ora corretti nelle apparecchiature di rete per condurre ricognizioni e distribuire malware contro obiettivi selezionati.
Il Threat Analysis Group (TAG) di Google ha anche pubblicato un avviso il mese scorso, dettagliando un’operazione di raccolta delle credenziali effettuata dall’autore della minaccia per reindirizzare i visitatori dei siti web del governo ucraino a domini di phishing.
I gruppi di hacker russi sono stati anche collegati allo sfruttamento di un difetto critico di escalation dei privilegi in Microsoft Outlook (CVE-2023-23397, punteggio CVSS: 9.8) in intrusioni dirette contro il governo, i trasporti, l’energia e i settori militari in Europa.
Inoltre, Fortinet FortiGuard Labs ha scoperto un attacco di phishing in più fasi che sfrutta un documento Word presumibilmente dall’Energoatom ucraino come esca per fornire il framework post-sfruttamento Havoc open source.
Secondo Recorded Future, una società di sicurezza informatica, “resta molto probabile che i servizi di intelligence, militari e delle forze dell’ordine russi abbiano un’intesa tacita di lunga data con gli attori delle minacce informatiche“.
“In alcuni casi, è quasi certo che queste agenzie mantengano una relazione consolidata e sistematica con gli attori delle minacce criminali informatiche, tramite collaborazione indiretta o tramite reclutamento“.
Fonte Thehackernews
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyberpolitica
Cybercrime
Cultura
Cybercrime
Cybercrime