Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено факт поширення електронних листів, що імітують повідомлення від UKR.NET та містять QR-код, у якому закодована «укорочена» URL-адреса, створена за допомогою одного з URL-shortener сервісів. Після переходу на посилання користувач потрапляв на сторінку, що імітує сторінку зміни пароля UKR.NET. Дані, що вводяться користувачем, за допомогою HTTP POST-запиту відправлялися потім на веб-ресурс, розгорнутий зловмисниками на платформі Pipedream.
З низьким рівнем впевненості CERT-UA асоціювала виявлену активність із діяльністю групи UAC-0028 (APT28).
Індикатори компрометації
Нагадаємо, що хакерське угруповання APT28 також відоме як Strontium, Sofacy і Fancy Bear. Його пов’язують із російським ГРУ. 9 березня група аналізу загроз Google (TAG) повідомила, що ці кіберзлочинці провели кілька великих фішингових кампаній, спрямованих на користувачів української медіакомпанії UkrNet. Фішингові листи надсилалися з великої кількості зламаних облікових записів. Вони містили посилання на домени, контрольовані зловмисниками. У тому числі і Blogspot. Звідти користувачі перенаправлялися на фішингові сторінки з обліковими даними. Усі відомі домени Blogspot хакерів вже видалено.
У хакерських атаках на низку польських та українських урядових та військових організацій, компаній також брали участь білоруська група кіберзловмисників Ghostwriter/UNC1151 та китайська Mustang Panda/Temp.Hex.