Изощренная группа киберпреступников из России была поймана при попытке атаковать западное правительственное подразделение, расположенное в Украине.
В то время, когда напряженность в отношениях между Россией и Украиной высока, а мировые лидеры обеспокоены тем, что первая намеревается вторгнуться, цифровая война уже длится полным ходом.
В последние недели Украина подвергалась порче и фальсификации многочисленных государственных веб-сайтов, Центр разведки угроз Microsoft (MSTIC) предупредил, что вредоносное ПО используется для атак на украинские организации, а Министерство финансов США наложило санкции на граждан Украины за якобы попытки помочь создать «нестабильность» перед потенциальным вторжением.
Национальный центр кибербезопасности Великобритании (NCSC) также призывает организации усилить защиту в свете недавних кибератак против Украины.
Теперь исследователи из Пало-Альто Сети раскрыли текущую деятельность против Украины со стороны Primitive Bear/Gamaredon, группы продвинутых постоянных угроз (APT) российского происхождения.
Команда говорит, что, хотя нет никаких доказательств того, что Primitive Bear несет ответственность за какую-либо из недавних широко разрекламированных атак, поскольку «одна из наиболее активных существующих продвинутых постоянных угроз, нацеленных на Украину, мы ожидаем, что в ближайшие недели мы увидим дополнительные вредоносные действия в киберпространстве». по мере развития конфликта».
19 января Primitive Bear попытался атаковать сети неназванной «западной государственной структуры» в Украине.
Первоначальный вектор атаки интересен: вместо того, чтобы отправлять типичное фишинговое письмо, злоумышленники искали активный список вакансий в отделе и загружали вредоносный загрузчик в резюме.
«Учитывая шаги и точность доставки, использованные в этой кампании, похоже, что это могла быть конкретная, преднамеренная попытка Первобытного Медведя/Гамаредона скомпрометировать эту западную правительственную организацию», — отмечают исследователи.
Также есть доказательства того, что Primitive Bear атаковал Государственную миграционную службу Украины с помощью фишинговых писем.
Как сообщает CERT Эстония (.PDF), в прошлом APT использовала вредоносные макросы во вложениях шаблонов .dox/.dot для запуска вредоносных программ очистки.
«Поскольку международная напряженность вокруг Украины остается нерешенной, действия Гамаредон, вероятно, будут по-прежнему сосредоточены на интересах России в регионе», — говорит Пало-Альто. «Несмотря на то, что мы наметили три крупных кластера активной в настоящее время инфраструктуры Gamaredon, мы считаем, что есть еще неизведанные объекты».