Новости

Google рассказала, что российские хакеры FancyBear вместе с белорусскими Ghostwriter осуществляли массовые фишинговые кампании против Украины и Польши

Google рассказала, что российские хакеры FancyBear вместе с белорусскими Ghostwriter осуществляли массовые фишинговые кампании против Украины и Польши

Группа анализа угроз Google (TAG) последние две недели наблюдала за активностью со стороны ряда особо опасных групп злоумышленников, хорошо известных правоохранительным органам, в частности, такими хакерскими группировками как FancyBear и Ghostwriter. Их деятельность варьируется от шпионажа до фишинговых кампаний. Для повышения осведомленности сообщества безопасности и пользователей с высоким риском исследователи TAG поделились последними разведданными.

Сначала стоит отметить, что за последние 12 месяцев при поддержке правительства TAG предоставила сотни уведомлений украинским пользователям об атаках, предупреждая их о том, что они стали мишенью правительственных хакеров, преимущественно из россии.

FancyBear/APT28

Это хакерская группа, связываемая с российским ГРУ, провела несколько крупных фишинговых кампаний, направленных на пользователей украинской медиакомпании UkrNet. Фишинговые письма отправляются из большого количества сломанных аккаунтов (не Gmail/Google) и содержат ссылки на домены, контролируемые злоумышленниками.

В последних двух кампаниях злоумышленники использовали недавно созданные домены Blogspot как начальную целевую страницу, а затем перенаправляли цели на фишинговые страницы с учетными данными. Все известные домены Blogspot, контролируемые злоумышленниками, удалены.

Google рассказала, что российские хакеры FancyBear вместе с белорусскими Ghostwriter осуществляли массовые фишинговые кампании против Украины и Польши
Пример фишинговой страницы учетных данных APT28

Примеры фишинговых доменов учетных данных, которые наблюдались во время этих кампаний:

  • iid-unconfirmeduser[.]frge[.]io
  • hatdfg-rhgreh684[.]frge[.]io
  • ua-consumerpanel[.]frge[.]io
  • consumerspanel[.]frge[.]io

Ghostwriter/UNC1151

белорусская группа киберзлоумышленников в течение последней недели проводила фишинговые кампании против польских и украинских правительственных и военных организаций. TAG также определила кампании, нацеленные на пользователей веб-почты от таких провайдеров:

  • i.ua
  • meta.ua
  • rambler.ru
  • ukr.net
  • wp.pl
  • yandex.ru

Примеры фишинговых доменов учетных данных, которые наблюдались во время этих кампаний:

  • accounts[.]secure-ua[.]website
  • i[.]ua-passport[.]top
  • login[.]creditals-email[.]space
  • post[.]mil-gov[.]space
  • verify[.]rambler-profile[.]site

Эти фишинговые домены заблокированы через Google Safe Browsing — службу, которая определяет опасные вебсайты в интернете и уведомляет пользователей и владельцев о потенциальном ущербе.

Mustang Panda або Temp.Hex

Группа базирующихся в Китае киберзлоумышленников нацелилась на европейские организации с помощью приманок, связанных с вторжением в Украину. TAG обнаружил вредоносные вложения с именами файлов, например ‘Situation at the EU borders with Ukraine.zip’. zip-файл содержит одноименный файл, являющийся основным загрузчиком, и если его открыть, он загружает несколько дополнительных файлов, устанавливающих окончательный файл. Чтобы уменьшить ущерб, TAG сообщила соответствующим органам о своих выводах.

Ориентация на европейские организации – отвлечение от обычных целей Mustang Panda в Юго-Восточной Азии.

DDoS-атаки

В TAG продолжают наблюдать попытки DDoS-атак против многочисленных сайтов в Украине, в частности, Министерства иностранных дел, Министерства внутренних дел, а также таких сервисов, как Liveuamap, которые созданы, чтобы помочь людям найти информацию.

Ранее специалисты расширили доступ к Project Shield — бесплатная защита от DDoS-атак. Сервис позволяет Google поглощать плохой трафик во время DDoS-атаки и действовать как щит для веб-сайтов, позволяя им продолжать работать и защищаться от этих атак. На сегодня сервисом пользуются более 150 вебсайтов в Украине, в том числе многие информационные организации.

«Мы призываем все соответствующие организации зарегистрироваться в Project Shield, чтобы наши системы могли помочь блокировать эти атаки, чтобы сайты могли оставаться в режиме онлайн.

Мы будем продолжать принимать меры, выявлять злоумышленников и делиться соответствующей информацией с другими представителями отрасли и правительства, чтобы привлечь внимание к этим проблемам, защитить пользователей и предотвратить будущие атаки. И хотя мы активно отслеживаем активности, связанные с Украиной и Россией, мы продолжаем быть столь же бдительными по отношению к другим субъектам угроз во всем мире, чтобы гарантировать, что они не воспользуются тем, что внимание всех сосредоточено на этом регионе.».

Google


Завантаження коментарів...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: