VNews.com.ua

Google рассказала, что российские хакеры FancyBear вместе с белорусскими Ghostwriter осуществляли массовые фишинговые кампании против Украины и Польши

Март 09
13:29 2022

Google рассказала, что российские хакеры FancyBear вместе с белорусскими Ghostwriter осуществляли массовые фишинговые кампании против Украины и Польши

Группа анализа угроз Google (TAG) последние две недели наблюдала за активностью со стороны ряда особо опасных групп злоумышленников, хорошо известных правоохранительным органам, в частности, такими хакерскими группировками как FancyBear и Ghostwriter. Их деятельность варьируется от шпионажа до фишинговых кампаний. Для повышения осведомленности сообщества безопасности и пользователей с высоким риском исследователи TAG поделились последними разведданными.

Сначала стоит отметить, что за последние 12 месяцев при поддержке правительства TAG предоставила сотни уведомлений украинским пользователям об атаках, предупреждая их о том, что они стали мишенью правительственных хакеров, преимущественно из россии.

FancyBear/APT28

Это хакерская группа, связываемая с российским ГРУ, провела несколько крупных фишинговых кампаний, направленных на пользователей украинской медиакомпании UkrNet. Фишинговые письма отправляются из большого количества сломанных аккаунтов (не Gmail/Google) и содержат ссылки на домены, контролируемые злоумышленниками.

В последних двух кампаниях злоумышленники использовали недавно созданные домены Blogspot как начальную целевую страницу, а затем перенаправляли цели на фишинговые страницы с учетными данными. Все известные домены Blogspot, контролируемые злоумышленниками, удалены.

Google рассказала, что российские хакеры FancyBear вместе с белорусскими Ghostwriter осуществляли массовые фишинговые кампании против Украины и Польши
Пример фишинговой страницы учетных данных APT28

Примеры фишинговых доменов учетных данных, которые наблюдались во время этих кампаний:

  • iid-unconfirmeduser[.]frge[.]io
  • hatdfg-rhgreh684[.]frge[.]io
  • ua-consumerpanel[.]frge[.]io
  • consumerspanel[.]frge[.]io

Ghostwriter/UNC1151

белорусская группа киберзлоумышленников в течение последней недели проводила фишинговые кампании против польских и украинских правительственных и военных организаций. TAG также определила кампании, нацеленные на пользователей веб-почты от таких провайдеров:

  • i.ua
  • meta.ua
  • rambler.ru
  • ukr.net
  • wp.pl
  • yandex.ru

Примеры фишинговых доменов учетных данных, которые наблюдались во время этих кампаний:

  • accounts[.]secure-ua[.]website
  • i[.]ua-passport[.]top
  • login[.]creditals-email[.]space
  • post[.]mil-gov[.]space
  • verify[.]rambler-profile[.]site

Эти фишинговые домены заблокированы через Google Safe Browsing — службу, которая определяет опасные вебсайты в интернете и уведомляет пользователей и владельцев о потенциальном ущербе.

Mustang Panda або Temp.Hex

Группа базирующихся в Китае киберзлоумышленников нацелилась на европейские организации с помощью приманок, связанных с вторжением в Украину. TAG обнаружил вредоносные вложения с именами файлов, например ‘Situation at the EU borders with Ukraine.zip’. zip-файл содержит одноименный файл, являющийся основным загрузчиком, и если его открыть, он загружает несколько дополнительных файлов, устанавливающих окончательный файл. Чтобы уменьшить ущерб, TAG сообщила соответствующим органам о своих выводах.

Ориентация на европейские организации – отвлечение от обычных целей Mustang Panda в Юго-Восточной Азии.

DDoS-атаки

В TAG продолжают наблюдать попытки DDoS-атак против многочисленных сайтов в Украине, в частности, Министерства иностранных дел, Министерства внутренних дел, а также таких сервисов, как Liveuamap, которые созданы, чтобы помочь людям найти информацию.

Ранее специалисты расширили доступ к Project Shield — бесплатная защита от DDoS-атак. Сервис позволяет Google поглощать плохой трафик во время DDoS-атаки и действовать как щит для веб-сайтов, позволяя им продолжать работать и защищаться от этих атак. На сегодня сервисом пользуются более 150 вебсайтов в Украине, в том числе многие информационные организации.

«Мы призываем все соответствующие организации зарегистрироваться в Project Shield, чтобы наши системы могли помочь блокировать эти атаки, чтобы сайты могли оставаться в режиме онлайн.

Мы будем продолжать принимать меры, выявлять злоумышленников и делиться соответствующей информацией с другими представителями отрасли и правительства, чтобы привлечь внимание к этим проблемам, защитить пользователей и предотвратить будущие атаки. И хотя мы активно отслеживаем активности, связанные с Украиной и Россией, мы продолжаем быть столь же бдительными по отношению к другим субъектам угроз во всем мире, чтобы гарантировать, что они не воспользуются тем, что внимание всех сосредоточено на этом регионе.».

Google

Share

Статьи по теме

Последние новости

В Украине запускают Единый государственный реестр домашних животных — первый этап уже стартовал

Читать всю статью

Наши партнёры

UA.TODAY - Украина Сегодня UA.TODAY

Всегда на пути к успеху: EA-LOGISTIC – ваш проводник в международных грузоперевозках.