Група аналізу загроз Google (TAG) протягом останніх двох тижнів спостерігала за активністю з боку низки особливо небезпечних груп зловмисників, які добре відомі правоохоронним органам, зокрема такі хакерські групи як FancyBear і Ghostwriter. Їхня діяльність варіюється від шпигунства до фішингових кампаній. Щоб допомогти підвищити обізнаність серед спільноти безпеки та користувачів із високим ризиком, інженери-дослідники TAG поділилась останніми розвідданими.
Спершу варто зазначити, що протягом останніх 12 місяців за підтримки уряду TAG випустила сотні попереджень українським користувачам про атаки, попереджаючи їх про те, що вони стали мішенню підтриманого урядом хакерства, переважно з росії.
FancyBear/APT28
Це хакерська група, яку пов’язують із російським ГРУ, провела кілька великих фішингових кампаній, спрямованих на користувачів української медіакомпанії UkrNet. Фішингові листи надсилаються з великої кількості зламаних облікових записів (не Gmail/Google) і містять посилання на домени, контрольовані зловмисниками.
У двох останніх кампаніях зловмисники використовували нещодавно створені домени Blogspot як початкову цільову сторінку, а потім переспрямовували цілі на фішингові сторінки з обліковими даними. Усі відомі домени Blogspot, які контролюються зловмисниками, видалено.
Приклади фішингових доменів облікових даних, які спостерігалися під час цих кампаній:
- iid-unconfirmeduser[.]frge[.]io
- hatdfg-rhgreh684[.]frge[.]io
- ua-consumerpanel[.]frge[.]io
- consumerspanel[.]frge[.]io
Ghostwriter/UNC1151
Білоруська група кіберзловмисників, протягом останнього тижня проводила фішингові кампанії проти польських та українських урядових і військових організацій. TAG також визначила кампанії, націлені на користувачів вебпошти від таких провайдерів:
- i.ua
- meta.ua
- rambler.ru
- ukr.net
- wp.pl
- yandex.ru
Приклади фішингових доменів облікових даних, які спостерігалися під час цих кампаній:
- accounts[.]secure-ua[.]website
- i[.]ua-passport[.]top
- login[.]creditals-email[.]space
- post[.]mil-gov[.]space
- verify[.]rambler-profile[.]site
Ці фішингові домени заблоковано через Google Safe Browsing — службу, яка визначає небезпечні вебсайти в інтернеті та сповіщає користувачів і власників про потенційну шкоду.
Mustang Panda або Temp.Hex
Група кіберзловмисників, яка базується в Китаї, націлилася на європейські організації за допомогою приманок, пов’язаних з вторгненням в Україну. TAG виявив шкідливі вкладення з іменами файлів, наприклад ‘Situation at the EU borders with Ukraine.zip’. zip-файл містить однойменний файл, який є основним завантажувачем, і якщо його відкрити, він завантажує кілька додаткових файлів, які встановлюють остаточний файл. Щоб зменшити шкоду, TAG повідомила відповідні органи про свої висновки.
Орієнтація на європейські організації — відхід від звичайних цілей Mustang Panda в Південно-Східній Азії.
DDoS-атаки
В TAG продовжують спостерігати спроби DDoS-атак проти численних сайтів в Україні, зокрема Міністерства закордонних справ, Міністерства внутрішніх справ, а також таких сервісів, як Liveuamap, які створені, щоб допомогти людям знайти інформацію.
Раніше спеціалісти розширили доступ до Project Shield — безплатний захист від DDoS-атак. Сервіс дозволяє Google поглинати поганий трафік під час DDoS-атаки і діяти як «щит» для веб-сайтів, дозволяючи їм продовжувати працювати та захищатися від цих атак. На сьогодні сервісом користуються понад 150 вебсайт в Україні, у тому числі багато інформаційних організацій.
«Ми закликаємо всі відповідні організації зареєструватися в Project Shield, щоб наші системи могли допомогти блокувати ці атаки, щоб вебсайти могли залишатися в режимі онлайн.
Ми продовжуватимемо вживати заходів, виявляти зловмисників та ділитися відповідною інформацією з іншими представниками галузі та уряду, щоб привернути увагу до цих проблем, захистити користувачів та запобігти майбутнім атакам. І хоча ми активно відстежуємо активності, пов’язані з Україною та Росією, ми продовжуємо бути настільки ж пильними щодо інших суб’єктів загроз у всьому світі, щоб гарантувати, що вони не скористаються тим, що увага усіх зосереджена на цьому регіоні».