Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено факт поширення електронних листів, що імітують повідомлення від UKR.NET та містять QR-код, у якому закодована «укорочена» URL-адреса, створена за допомогою одного з URL-shortener сервісів. Після переходу на посилання користувач потрапляв на сторінку, що імітує сторінку зміни пароля UKR.NET. Дані, що вводяться користувачем, за допомогою HTTP POST-запиту відправлялися потім на веб-ресурс, розгорнутий зловмисниками на платформі Pipedream.

З низьким рівнем впевненості CERT-UA асоціювала виявлену активність із діяльністю групи UAC-0028 (APT28).

Індикатори компрометації

• hxxps://tinyurl[.]com/2p8kpb9v
  hxxps: //panelunregistertle-348.frge[.]i/
  hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
  hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
  hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
  панельunregistertle-348.frge [.] я
  eo9p1d2bfmioiot.m.pipedream[.]net
  eoiw8lhjwuc3sh2.m.pipedream[.]net
  фрге [.] я (2021-04-21)
  pipedream[.]net (легітимний ресурс)

Нагадаємо, що хакерське угруповання APT28 також відоме як Strontium, Sofacy і Fancy Bear. Його пов’язують із російським ГРУ. 9 березня група аналізу загроз Google (TAG) повідомила, що ці кіберзлочинці провели кілька великих фішингових кампаній, спрямованих на користувачів української медіакомпанії UkrNet. Фішингові листи надсилалися з великої кількості зламаних облікових записів. Вони містили посилання на домени, контрольовані зловмисниками. У тому числі і Blogspot. Звідти користувачі перенаправлялися на фішингові сторінки з обліковими даними. Усі відомі домени Blogspot хакерів вже видалено.

У хакерських атаках на низку польських та українських урядових та військових організацій, компаній також брали участь білоруська група кіберзловмисників Ghostwriter/UNC1151 та китайська Mustang Panda/Temp.Hex.