Правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA выявлен факт распространения электронных писем, имитирующих сообщения от UKR.NET и содержащих QR-код, в котором закодирован «укороченный» URL-адрес, созданный с помощью одного из URL-shortener сервисов. После перехода по ссылке пользователь попадал на страницу, имитирующий страницу изменения пароля UKR.NET. Вводимые пользователем данные с помощью HTTP POST-запроса отправлялись затем на веб-ресурс, развернутый злоумышленниками на платформе Pipedream.
С низким уровнем уверенности CERT-UA ассоциировала выявленную активность с деятельностью группы UAC-0028 (APT28).
Индикаторы компрометации
- hxxps://tinyurl[.]com/2p8kpb9v
- hxxps: //panelunregistertle-348.frge[.]i/
- hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
- hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
- hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
- панельunregistertle-348.frge [.] я
- eo9p1d2bfmioiot.m.pipedream[.]net
- eoiw8lhjwuc3sh2.m.pipedream[.]net
- фрге [.] я (2021-04-21)
- pipedream[.]net (легитимный ресурс)
Напомним, что хакерская группировка APT28 также известна как Strontium, Sofacy и Fancy Bear. Ее связывают с российским ГРУ. 9 марта группа анализа угроз Google (TAG) сообщила, что эти киберпреступники провели несколько крупных фишинговых кампаний, направленных на пользователей украинской медиакомпании UkrNet. Фишинговые письма отправлялись с большого количества взломанных аккаунтов. Они содержали ссылки на домены, контролируемые злоумышленниками. В том числе и Blogspot. Оттуда пользователи перенаправлялись на фишинговые страницы с учетными данными. Все известные домены Blogspot хакеров уже удалены.
В хакерских атаках на ряд польских и украинских правительственных и военных организаций, компаний также принимали участие белорусская группа киберзлоумышленников Ghostwriter/UNC1151 и китайская Mustang Panda/Temp.Hex.