Οι γνωστοί hackers APT28 που συνδέονται με το General Staff Main Intelligence Directorate (GRU) της Ρωσίας παραβίασαν τους Roundcube email servers που ανήκουν σε πολλούς ουκρανικούς οργανισμούς, συμπεριλαμβανομένων κυβερνητικών φορέων.
Σε αυτές τις επιθέσεις, η ομάδα APT28, η οποία είναι επίσης γνωστή ως BlueDelta, Fancy Bear, Sednit και Sofacy, εκμεταλλεύτηκε τη σύγκρουση μεταξύ Ρωσίας και Ουκρανίας για να εξαπατήσει τους χρήστες και να τους κάνει να ανοίξουν κακόβουλα email, τα οποία εκμεταλλεύονται ευπάθειες του Roundcube Webmail. Στόχος είναι η παραβίαση μη ενημερωμένων servers.
Μετά την παραβίαση των email servers, οι hackers της ρωσικής στρατιωτικής υπηρεσίας ανέπτυξαν κακόβουλα scripts για να ανακατευθύνουν τα εισερχόμενα email στοχευμένων ατόμων σε μια διεύθυνση email που ελέγχουν οι εισβολείς.
Δείτε επίσης: Hackers χρησιμοποιούν ψεύτικο περιεχόμενο Onlyfans για να μολύνουν χρήστες με το DcRAT malware
Αυτά τα scripts χρησιμοποιήθηκαν επίσης για reconnaissance και για την κλοπή του Roundcube address book των θυμάτων, των session cookies και άλλων πληροφοριών που ήταν αποθηκευμένες στη βάση δεδομένων του Roundcube.
Με βάση τα δεδομένα που συλλέχθηκαν κατά τη διάρκεια της έρευνας από το Computer Emergency Response Team (CERTUA) της Ουκρανίας και το τμήμα έρευνας απειλών της Recorded Future, Insikt Group, ο στόχος της εκστρατείας ήταν η συλλογή και κλοπή στρατιωτικών πληροφοριών με σκοπό την υποστήριξη της εισβολής της Ρωσίας στην Ουκρανία.
Υπολογίζεται ότι η υποδομή που χρησιμοποιούν οι hackers APT28 σε αυτές τις επιθέσεις είναι λειτουργική από τον Νοέμβριο του 2021 περίπου.
“Εντοπίσαμε δραστηριότητα της BlueDelta που είναι πολύ πιθανό να στοχεύει μια περιφερειακή ουκρανική εισαγγελία και μια κεντρική εκτελεστική αρχή της Ουκρανίας, καθώς και δραστηριότητα reconnaissance που περιλαμβάνει πρόσθετες ουκρανικές κυβερνητικές οντότητες και έναν οργανισμό που εμπλέκεται στην αναβάθμιση και ανακαίνιση υποδομής ουκρανικών στρατιωτικών αεροσκαφών“, ανέφερε η Insikt Group.
Δείτε επίσης: Η πόλη Fayetteville του Arkansas αντιμετωπίζει μια εξουθενωτική κυβερνοεπίθεση
Σύμφωνα με τους ερευνητές, η phishing καμπάνια της APT28 εκμεταλλεύεται τις ευπάθειες CVE-2020-35730, CVE-2020-12641 και CVE-2021-44026 στο open-source webmail software Roundcube.
Σύνδεση με προηγούμενες εκστρατείες κυβερνοκατασκοπείας
Η Recorded Future λέει ότι αυτή η καμπάνια επικαλύπτεται με προηγούμενες επιθέσεις της APT28. Οι hackers είχαν προηγουμένως εκμεταλλευτεί μια κρίσιμη zero-day ευπάθεια του Microsoft Outlook (CVE-2023-23397) για να στοχεύσουν ευρωπαϊκούς οργανισμούς.
Δείτε επίσης: Infostealer malware έχουν κλέψει 101.000 λογαριασμούς ChatGPT
Χρησιμοποίησαν το σφάλμα zero-day για να υποκλέψουν credentials και να εξαπλωθούν στα δίκτυα των θυμάτων. Σε αυτές τις επιθέσεις, οι hackers APT28 είχαν παραβιάσει τα δίκτυα περίπου 15 κυβερνητικών, στρατιωτικών και ενεργειακών οργανισμών μεταξύ Απριλίου και του Δεκεμβρίου 2022.
Η Ομάδα Ανάλυσης Απειλών της Google αποκάλυψε επίσης ότι περίπου το 60% όλων των phishing emails που στόχευαν την Ουκρανία το πρώτο τρίμηνο του 2023, στάλθηκαν από Ρώσους hackers, με τους APT28 να βρίσκονται πίσω από έναν μεγάλο αριθμό επιθέσεων.
Τα phishing emails είναι μια σημαντική απειλή και συχνά αποτελούν το πρώτο στάδιο μιας πιο μεγάλης κυβερνοεπίθεσης. Με επαγρύπνηση και εκπαίδευση, μπορείτε να παραμείνετε προστατευμένοι. Να είστε πάντα προσεκτικοί όταν λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται ύποπτο και να μην κάνετε ποτέ κλικ σε συνδέσμους ή λήψη συνημμένων από άγνωστους αποστολείς.
Πηγή: www.bleepingcomputer.com
 της Ρωσίας παραβίασαν τους Roundcube email){kind=link}