Rosyjscy cyberprzestępcy znowu atakują
Według najnowszych doniesień z działu cyberbezpieczeństwa IBM, niesławny kolektyw rosyjskich cyberprzestępców współpracujący z GRU, znany jako APT28, Fancy Bear czy Forest Blizzard, powrócił. Tym razem podszywając się pod różne organizacje NGO i rządowe na całym świecie.
Metoda cyberataku, która rozpoczęła się w listopadzie 2023 r. i trwała do lutego 2024 r., wykorzystuje legalne funkcje systemu Microsoft Windows do wprowadzania złośliwego oprogramowania na komputerach ofiar.
Podstawą ataku są maile, zawierające załączone pliki o rozszerzeniu.pdf. Te, jak się okazuje, zawierają adresy URL kierujące użytkowników do zainfekowanych stron WWW.
Jak atakują rosyjscy cyberprzestępcy?
Ważnym elementem tej strategii jest wykorzystanie funkcji systemu Windows, takich jak moduł obsługi protokołu URI „search-ms:” oraz protokół aplikacji „search:”. Te mechanizmy, które normalnie służą do uruchamiania niestandardowych wyszukiwań lokalnych na urządzeniach, zostały w tym przypadku wykorzystane przez Rosjan do uruchamiania złośliwego oprogramowania na komputerach ofiar.
Najbardziej niepokojącą cechą tego cyberataku jest sposób, w jaki atakujący zdołali ukryć złośliwe oprogramowanie pod postacią plików.pdf. Ofiary, które pobierają i uruchamiają załączniki, narażają swoje urządzenia na zainfekowanie złośliwym oprogramowaniem. A najgorsze jest to, że początkowo mogą tego nawet nie zauważyć.
Co więcej – złośliwe oprogramowanie hostowane jest na serwerach WebDAV, które prawdopodobnie znajdują się na zainfekowanych routerach Ubiquiti. To oznacza, że cyberprzestępcy mogą wykorzystywać szeroką infrastrukturę sieciową do prowadzenia swoich cyberataków na jeszcze większą skalę.
Rosjanie atakują Polskę
Rosyjscy cyberprzestępcy z APT28 skupiają się w tej kampanii głównie na: Argentynie, Ukrainie, Gruzji, Białorusi, Kazachstanie, Polsce, Armenii, Azerbejdżanie oraz Stanach Zjednoczonych.
Najnowsze ataki APT28 to tylko punkt kulminacyjny ich złożonej strategii. Oprócz infekowania komputerów grupa jest również odpowiedzialna za stworzenie złośliwych programów, takich jak MASEPIE, OCEANMAP i STEELHOOK, które umożliwiają kradzież danych, uruchamianie poleceń oraz eksfiltrację plików.
Zgodnie z ostrzeżeniem ekspertów, APT28 stanowi poważne zagrożenie dla cyberbezpieczeństwa na całym świecie. Dlatego też ważne jest, aby wszyscy użytkownicy komputerów zachowali szczególną ostrożność, zwłaszcza w kontekście otrzymywanych maili, które mogą być potencjalnie szkodliwe.
Atak ten ponownie pokazuje, że walka z cyberzagrożeniami wymaga współpracy na międzynarodowym poziomie oraz stałej czujności ze strony osób korzystających z internetu.
