Οι Ρώσοι hackers APT28 φαίνεται να βρίσκονται πίσω από επιθέσεις που στοχεύουν δίκτυα σε όλη την Ευρώπη με το malware HeadLace και με ψεύτικες ιστοσελίδες που κλέβουν credentials.
Οι hackers APT28 υποστηρίζονται από τη ρωσική στρατηγική στρατιωτική μονάδα πληροφοριών GRU και είναι γνωστοί με πολλά ονόματα: BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy και TA422.
Οι επιθέσεις τους καταφέρνουν να μένουν κρυφές για μεγάλο διάστημα και γίνονται όλο και πιο πολύπλοκες, με τη χρήση νέων custom εργαλείων. Πολλές φορές, βασίζονται σε νόμιμες υπηρεσίες Διαδικτύου (LIS) και living off-the-land binaries (LOLBins) για να κρύψουν τις δραστηριότητές τους μέσα στο τυπικό network traffic.
Δείτε επίσης: Microsoft Office: Πειρατικές εκδόσεις διανέμουν malware
Σύμφωνα με την Recorded Future, από τον Απρίλιο έως τον Δεκέμβριο του 2023, οι Ρώσοι hackers ανέπτυξαν το Headlace malware σε τρεις διακριτές φάσεις χρησιμοποιώντας τεχνικές geofencing για να στοχεύσουν δίκτυα σε όλη την Ευρώπη. Κυρίως εστίαζαν στην Ουκρανία.
“Οι κατασκοπευτικές δραστηριότητες της BlueDelta αντικατοπτρίζουν μια ευρύτερη στρατηγική που στοχεύει στη συλλογή πληροφοριών για οντότητες με στρατιωτική σημασία για τη Ρωσία, στο πλαίσιο της συνεχιζόμενης επιθετικότητάς της κατά της Ουκρανίας“.
Το HeadLace malware διανέμεται μέσω spear-phishing emails που περιέχουν κακόβουλους συνδέσμους. Όταν ο παραλήπτης κάνει κλικ, προκαλείται μόλυνση πολλαπλών σταδίων για την εγκατάσταση του τελικού κακόβουλου λογισμικού.
Οι Ρώσοι hackers APT28 χρησιμοποίησαν ένα infrastructure chain επτά σταδίων, κατά την πρώτη φάση, για να παραδώσουν ένα κακόβουλο Windows BAT script (δηλαδή το HeadLace) που μπορεί να κατεβάζει και να εκτελεί πρόσθετες shell commands.
Η δεύτερη φάση, η οποία ξεκίνησε στις 28 Σεπτεμβρίου 2023, χρησιμοποίησε το GitHub για το redirection infrastructure, ενώ κατά την τρίτη φάση χρησιμοποιήθηκαν PHP scripts που φιλοξενήθηκαν στο InfinityFree από τις 17 Οκτωβρίου 2023.
Δείτε επίσης: LightSpy malware: Νέα στοιχεία για τη macOS έκδοση
“Η τελευταία ανιχνευθείσα δραστηριότητα, στην τρίτη φάση, ήταν τον Δεκέμβριο του 2023“, είπε η εταιρεία. “Από τότε, η BlueDelta πιθανότατα έπαψε να χρησιμοποιεί τη φιλοξενία InfinityFree και στράφηκε στα webhook[.]site και mocky[.]io απευθείας“.
Οι Ρώσοι hackers APT28 κλέβουν, επίσης, credentials κυρίως από υπηρεσίες Yahoo! και UKR[.]net, χρησιμοποιώντας ψεύτικες σελίδες που μοιάζουν με τις νόμιμες.
Οι στόχοι της κλοπής credentials περιελάμβαναν το ουκρανικό Υπουργείο Άμυνας, ουκρανικές εταιρείες εισαγωγής και εξαγωγής όπλων, ευρωπαϊκή σιδηροδρομική υποδομή και ένα think tank με έδρα το Αζερμπαϊτζάν.
“Η επιτυχής διείσδυση σε δίκτυα που σχετίζονται με το Υπουργείο Άμυνας της Ουκρανίας και τα ευρωπαϊκά σιδηροδρομικά συστήματα θα μπορούσε να επιτρέψει στην BlueDelta να συγκεντρώσει πληροφορίες που δυνητικά διαμορφώνουν τακτικές στο πεδίο της μάχης και ευρύτερες στρατιωτικές στρατηγικές“, ανέφερε η Recorded Future.
Προστασία από κακόβουλα έγγραφα και malware
Η χρήση αξιόπιστου και ενημερωμένου λογισμικού antivirus είναι απαραίτητη για την προστασία από malware. Τα antivirus προγράμματα μπορούν να ανιχνεύσουν και να αφαιρέσουν κακόβουλο λογισμικό, καθώς και να παρέχουν συνεχή προστασία σε πραγματικό χρόνο.
Δείτε επίσης: Το νέο RAT malware AllaSenha στοχεύει τράπεζες στη Βραζιλία
Η τακτική ενημέρωση του λειτουργικού συστήματος και του λογισμικού είναι, επίσης, κρίσιμη. Οι ενημερώσεις περιλαμβάνουν διορθώσεις ασφαλείας που κλείνουν τα κενά που θα μπορούσαν να εκμεταλλευτούν οι επιτιθέμενοι.
Ακολουθεί η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό. Οι κωδικοί πρόσβασης πρέπει να περιλαμβάνουν συνδυασμό γραμμάτων, αριθμών και ειδικών χαρακτήρων για να είναι πιο δύσκολο να σπάσουν.
Η ενεργοποίηση της πολυπαραγοντικής ταυτοποίησης (MFA) προσθέτει ένα επιπλέον επίπεδο ασφάλειας. Ακόμα και αν κάποιος αποκτήσει τον κωδικό πρόσβασής σας, θα χρειαστεί και τον δεύτερο παράγοντα για να αποκτήσει πρόσβαση.
Πολύ σημαντική είναι και η αποφυγή κλικ σε ύποπτους συνδέσμους και συνημμένα αρχεία σε email και μηνύματα. Οι επιτιθέμενοι συχνά χρησιμοποιούν phishing emails για να εξαπατήσουν τους χρήστες και να εγκαταστήσουν malware στους υπολογιστές τους.
Πηγή: thehackernews.com
