Google рассказала, что российские хакеры FancyBear вместе с белорусскими Ghostwriter осуществляли массовые фишинговые кампании против Украины и Польши
Группа анализа угроз Google (TAG) последние две недели наблюдала за активностью со стороны ряда особо опасных групп злоумышленников, хорошо известных правоохранительным органам, в частности, такими хакерскими группировками как FancyBear и Ghostwriter. Их деятельность варьируется от шпионажа до фишинговых кампаний. Для повышения осведомленности сообщества безопасности и пользователей с высоким риском исследователи TAG поделились последними разведданными.
Сначала стоит отметить, что за последние 12 месяцев при поддержке правительства TAG предоставила сотни уведомлений украинским пользователям об атаках, предупреждая их о том, что они стали мишенью правительственных хакеров, преимущественно из россии.
FancyBear/APT28
Это хакерская группа, связываемая с российским ГРУ, провела несколько крупных фишинговых кампаний, направленных на пользователей украинской медиакомпании UkrNet. Фишинговые письма отправляются из большого количества сломанных аккаунтов (не Gmail/Google) и содержат ссылки на домены, контролируемые злоумышленниками.
В последних двух кампаниях злоумышленники использовали недавно созданные домены Blogspot как начальную целевую страницу, а затем перенаправляли цели на фишинговые страницы с учетными данными. Все известные домены Blogspot, контролируемые злоумышленниками, удалены.
Примеры фишинговых доменов учетных данных, которые наблюдались во время этих кампаний:
- iid-unconfirmeduser[.]frge[.]io
- hatdfg-rhgreh684[.]frge[.]io
- ua-consumerpanel[.]frge[.]io
- consumerspanel[.]frge[.]io
Ghostwriter/UNC1151
белорусская группа киберзлоумышленников в течение последней недели проводила фишинговые кампании против польских и украинских правительственных и военных организаций. TAG также определила кампании, нацеленные на пользователей веб-почты от таких провайдеров:
- i.ua
- meta.ua
- rambler.ru
- ukr.net
- wp.pl
- yandex.ru
Примеры фишинговых доменов учетных данных, которые наблюдались во время этих кампаний:
- accounts[.]secure-ua[.]website
- i[.]ua-passport[.]top
- login[.]creditals-email[.]space
- post[.]mil-gov[.]space
- verify[.]rambler-profile[.]site
Эти фишинговые домены заблокированы через Google Safe Browsing — службу, которая определяет опасные вебсайты в интернете и уведомляет пользователей и владельцев о потенциальном ущербе.
Mustang Panda або Temp.Hex
Группа базирующихся в Китае киберзлоумышленников нацелилась на европейские организации с помощью приманок, связанных с вторжением в Украину. TAG обнаружил вредоносные вложения с именами файлов, например ‘Situation at the EU borders with Ukraine.zip’. zip-файл содержит одноименный файл, являющийся основным загрузчиком, и если его открыть, он загружает несколько дополнительных файлов, устанавливающих окончательный файл. Чтобы уменьшить ущерб, TAG сообщила соответствующим органам о своих выводах.
Ориентация на европейские организации – отвлечение от обычных целей Mustang Panda в Юго-Восточной Азии.
DDoS-атаки
В TAG продолжают наблюдать попытки DDoS-атак против многочисленных сайтов в Украине, в частности, Министерства иностранных дел, Министерства внутренних дел, а также таких сервисов, как Liveuamap, которые созданы, чтобы помочь людям найти информацию.
Ранее специалисты расширили доступ к Project Shield — бесплатная защита от DDoS-атак. Сервис позволяет Google поглощать плохой трафик во время DDoS-атаки и действовать как щит для веб-сайтов, позволяя им продолжать работать и защищаться от этих атак. На сегодня сервисом пользуются более 150 вебсайтов в Украине, в том числе многие информационные организации.
«Мы призываем все соответствующие организации зарегистрироваться в Project Shield, чтобы наши системы могли помочь блокировать эти атаки, чтобы сайты могли оставаться в режиме онлайн.
Мы будем продолжать принимать меры, выявлять злоумышленников и делиться соответствующей информацией с другими представителями отрасли и правительства, чтобы привлечь внимание к этим проблемам, защитить пользователей и предотвратить будущие атаки. И хотя мы активно отслеживаем активности, связанные с Украиной и Россией, мы продолжаем быть столь же бдительными по отношению к другим субъектам угроз во всем мире, чтобы гарантировать, что они не воспользуются тем, что внимание всех сосредоточено на этом регионе.».