Новини

Хакери розсилали шахрайські листи, що імітують повідомлення UKR.NET. Вони містили QR-код з посиланням на фішингову веб-сторінку

Хакери розсилали шахрайські листи, що імітують повідомлення UKR.NET. Вони містили QR-код з посиланням на фішингову веб-сторінку

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено факт поширення електронних листів, що імітують повідомлення від UKR.NET та містять QR-код, у якому закодована «укорочена» URL-адреса, створена за допомогою одного з URL-shortener сервісів. Після переходу на посилання користувач потрапляв на сторінку, що імітує сторінку зміни пароля UKR.NET. Дані, що вводяться користувачем, за допомогою HTTP POST-запиту відправлялися потім на веб-ресурс, розгорнутий зловмисниками на платформі Pipedream.

З низьким рівнем впевненості CERT-UA асоціювала виявлену активність із діяльністю групи UAC-0028 (APT28).

Індикатори компрометації

  • hxxps://tinyurl[.]com/2p8kpb9v
    hxxps: //panelunregistertle-348.frge[.]i/
    hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
    hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
    hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
    панельunregistertle-348.frge [.] я
    eo9p1d2bfmioiot.m.pipedream[.]net
    eoiw8lhjwuc3sh2.m.pipedream[.]net
    фрге [.] я (2021-04-21)
    pipedream[.]net (легітимний ресурс)

Нагадаємо, що хакерське угруповання APT28 також відоме як Strontium, Sofacy і Fancy Bear. Його пов’язують із російським ГРУ. 9 березня група аналізу загроз Google (TAG) повідомила, що ці кіберзлочинці провели кілька великих фішингових кампаній, спрямованих на користувачів української медіакомпанії UkrNet. Фішингові листи надсилалися з великої кількості зламаних облікових записів. Вони містили посилання на домени, контрольовані зловмисниками. У тому числі і Blogspot. Звідти користувачі перенаправлялися на фішингові сторінки з обліковими даними. Усі відомі домени Blogspot хакерів вже видалено.

Курс
Frontend
Опануйте HTML, CSS та JavaScript і отримайте роботу мрії
РЕЄСТРУЙТЕСЯ!
Frontend

У хакерських атаках на низку польських та українських урядових та військових організацій, компаній також брали участь білоруська група кіберзловмисників Ghostwriter/UNC1151 та китайська Mustang Panda/Temp.Hex.


Завантаження коментарів...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: