Fancy Bear, Ghostwriter, Mustang Panda를 비롯한 다양한 위협 행위자가 러시아의 우크라이나 침공 중에 우크라이나, 폴란드 및 기타 유럽 국가에 대한 피싱 캠페인을 시작했습니다.
Google의 위협 분석 그룹(TAG)은 러시아의 GRU 군사 정보로 추정되는 국가 그룹 FancyBear(일명 APT28)가 사회 공학 공격의 방문 페이지로 사용하는 두 개의 Blogspot 도메인을 삭제했다고 밝혔습니다.
이 공개는 우크라이나 컴퓨터 비상 대응 팀(CERT-UA)의 자문에 뒤이어 나온 것입니다. 경고 공격자가 제어하는 자격 증명 수집 페이지에 대한 링크가 포함된 손상된 계정에서 메시지를 보내는 것과 관련된 Ukr.net 사용자를 대상으로 하는 피싱 캠페인의 비율.
위협 활동의 또 다른 클러스터는 Ukr.net, Yandex.ru, wp.pl, rambler.ru, meta.ua 및 i.ua의 웹메일 사용자와 관련이 있으며, 이들은 추적된 벨로루시 위협 행위자의 피싱 공격을 수신했습니다. Ghostwriter(일명 UNC1151).
Google TAG의 이사인 Shane Huntley는 해킹 그룹이 "지난 주 폴란드와 우크라이나 정부 및 군사 조직을 대상으로 크리덴셜 피싱 캠페인을 수행했습니다."라고 말했습니다. 말했다 보고서에서.
그러나 우크라이나와 유럽을 주목한 것은 러시아와 벨로루시만이 아닙니다. 믹스에는 다음으로 알려진 중국 기반 위협 행위자가 포함됩니다. 머스탱 팬더 (TA416 또는 RedDelta라고도 함) "우크라이나 침공과 관련된 미끼를 사용하여 표적 유럽 엔티티"에 멀웨어를 설치하려고 시도합니다.
이 결과는 엔터프라이즈 보안 회사인 Proofpoint에서도 별도로 확인했습니다. 상세한 416년 2021월 초부터 유럽의 외교 기관에 대한 다년간의 TA28 캠페인(2022년 XNUMX월 XNUMX일 "난민 및 이주 서비스에 관련된 개인" 포함).
감염 시퀀스는 유럽 NATO 국가에서 온 외교관의 손상된 이메일 주소를 사용하여 피싱 메시지에 악성 URL을 포함시키는 것을 수반했습니다. 최종 단계 PlugX 악성코드.
이번 공개는 DDoS(분산 서비스 거부) 공격이 국방부, 외무부, 내무부 및 Liveuamap과 같은 서비스와 관련된 사이트와 같은 수많은 우크라이나 사이트를 폭격하면서 나온 것입니다.
"러시아 해커가 계속해서 우크라이나 정보 자원을 논스톱으로 공격하고 있습니다." 우크라이나 특수 통신 및 정보 보호국(SSSCIP) 말했다 주말에 트윗에서.
“가장 강력한 [DDoS] 공격이 정점에서 100Gbps를 초과했습니다. 관련된 모든 적의 자원에도 불구하고 중앙 정부 기관의 사이트는 사용할 수 있습니다.”
이와 관련된 개발에서 Anonymous hacking Collective 주장 러시아 연방 보안국(Federal Security Service of Russia)의 웹사이트를 폐쇄했으며 우크라이나의 전쟁 영상을 방송하기 위해 Wink, Ivi, Russia 24, Channel One, Moscow 24와 같은 여러 러시아 TV 채널 및 스트리밍 서비스의 라이브 피드를 중단했다고 밝혔습니다.
러시아에 대한 반격의 물결은 아연 도금 러시아 정부와 군사 목표물을 교란하기 위해 디지털 전쟁에 의존하는 크라우드소싱 우크라이나 정부 이니셔티브인 IT 군대의 형성에 의해.
이 개발은 또한 미국의 기술 회사가 러시아와의 관계를 효과적으로 단절하기 위해 움직인 것처럼 Facebook을 금지하고 러시아에서 널리 사용되는 다른 소셜 미디어 플랫폼을 제한하기로 한 러시아의 결정에 따른 것입니다. 철의 장막 만들기 및 온라인 액세스 축소.
