Группа анализа угроз Google (TAG) последние две недели наблюдала за активностью со стороны ряда особо опасных групп злоумышленников, хорошо известных правоохранительным органам, в частности, такими хакерскими группировками как FancyBear и Ghostwriter. Их деятельность варьируется от шпионажа до фишинговых кампаний. Для повышения осведомленности сообщества безопасности и пользователей с высоким риском исследователи TAG поделились последними разведданными.

Сначала стоит отметить, что за последние 12 месяцев при поддержке правительства TAG предоставила сотни уведомлений украинским пользователям об атаках, предупреждая их о том, что они стали мишенью правительственных хакеров, преимущественно из россии.

FancyBear/APT28

Это хакерская группа, связываемая с российским ГРУ, провела несколько крупных фишинговых кампаний, направленных на пользователей украинской медиакомпании UkrNet. Фишинговые письма отправляются из большого количества сломанных аккаунтов (не Gmail/Google) и содержат ссылки на домены, контролируемые злоумышленниками.

В последних двух кампаниях злоумышленники использовали недавно созданные домены Blogspot как начальную целевую страницу, а затем перенаправляли цели на фишинговые страницы с учетными данными. Все известные домены Blogspot, контролируемые злоумышленниками, удалены.

Примеры фишинговых доменов учетных данных, которые наблюдались во время этих кампаний:

• iid-unconfirmeduser[.]frge[.]io
• hatdfg-rhgreh684[.]frge[.]io
• ua-consumerpanel[.]frge[.]io
• consumerspanel[.]frge[.]io

Ghostwriter/UNC1151

белорусская группа киберзлоумышленников в течение последней недели проводила фишинговые кампании против польских и украинских правительственных и военных организаций. TAG также определила кампании, нацеленные на пользователей веб-почты от таких провайдеров:

• i.ua
• meta.ua
• rambler.ru
• ukr.net
• wp.pl
• yandex.ru

Примеры фишинговых доменов учетных данных, которые наблюдались во время этих кампаний:

• accounts[.]secure-ua[.]website
• i[.]ua-passport[.]top
• login[.]creditals-email[.]space
• post[.]mil-gov[.]space
• verify[.]rambler-profile[.]site

Эти фишинговые домены заблокированы через Google Safe Browsing — службу, которая определяет опасные вебсайты в интернете и уведомляет пользователей и владельцев о потенциальном ущербе.

Mustang Panda або Temp.Hex

Группа базирующихся в Китае киберзлоумышленников нацелилась на европейские организации с помощью приманок, связанных с вторжением в Украину. TAG обнаружил вредоносные вложения с именами файлов, например ‘Situation at the EU borders with Ukraine.zip’. zip-файл содержит одноименный файл, являющийся основным загрузчиком, и если его открыть, он загружает несколько дополнительных файлов, устанавливающих окончательный файл. Чтобы уменьшить ущерб, TAG сообщила соответствующим органам о своих выводах.

Ориентация на европейские организации – отвлечение от обычных целей Mustang Panda в Юго-Восточной Азии.

DDoS-атаки

В TAG продолжают наблюдать попытки DDoS-атак против многочисленных сайтов в Украине, в частности, Министерства иностранных дел, Министерства внутренних дел, а также таких сервисов, как Liveuamap, которые созданы, чтобы помочь людям найти информацию.

Ранее специалисты расширили доступ к Project Shield — бесплатная защита от DDoS-атак. Сервис позволяет Google поглощать плохой трафик во время DDoS-атаки и действовать как щит для веб-сайтов, позволяя им продолжать работать и защищаться от этих атак. На сегодня сервисом пользуются более 150 вебсайтов в Украине, в том числе многие информационные организации.

«Мы призываем все соответствующие организации зарегистрироваться в Project Shield, чтобы наши системы могли помочь блокировать эти атаки, чтобы сайты могли оставаться в режиме онлайн.

Мы будем продолжать принимать меры, выявлять злоумышленников и делиться соответствующей информацией с другими представителями отрасли и правительства, чтобы привлечь внимание к этим проблемам, защитить пользователей и предотвратить будущие атаки. И хотя мы активно отслеживаем активности, связанные с Украиной и Россией, мы продолжаем быть столь же бдительными по отношению к другим субъектам угроз во всем мире, чтобы гарантировать, что они не воспользуются тем, что внимание всех сосредоточено на этом регионе.».

Google