От дезинформации к кибератакам: как российские хакеры продолжают атаковать Украину

Компания ESET – лидер в области информационной безопасности – подготовила обзор активности APT-групп киберпреступников в апреле-сентябре 2024 года. За эти шесть месяцев российские хакеры продолжали атаковать организации в Украине, в частности с помощью отправки электронных писем для получения начального доступа, а также использования уязвимостей для атак на серверы веб-почты. Кроме того, киберпреступники проводили новые дезинформационно-психологические операции, направленные на отдельные регионы Украины.

В частности, группа Gamaredon распространяла масштабные фишинговые кампании и несанкционированно использовала мессенджеры Telegram и Signal. В июле 2024 года исследователи ESET обнаружили необычный компонент, развернутый группой Gamaredon, который открывает Telegram-канал «Хранители Одессы» в браузере по умолчанию. Этот канал наполнен российской пропагандой и направлен на жителей Одесской области.

Другая группа Sandworm использовала новый бэкдор для Windows под названием WrongSens (CERT-UA называет его QUEUESEED) и вредоносное программное обеспечение для Linux: LOADGRIP и BIASBOAT. Это сложные вредоносные программы для Linux, созданные разработчиками, которые хорошо понимают внутренние особенности Linux. Угрозы предназначены для работы только на целевых машинах, используя их идентификаторы для расшифровки компонента.

Кроме того, обнаруженная в феврале 2024 года дезинформационно-психологическая операция «Texonto» продолжала свою активность для деморализации украинцев. Злоумышленники преимущественно использовали электронную почту в качестве основного метода распространения сообщений. В частности, в сентябре 2024 года исследователи ESET обнаружили электронное письмо «Texonto», отправленное с DCHC@headlineinteresting[.]pro, вероятно, нацеленное на пользователей, проживающих в Сумской области. Текст электронного письма выглядел следующим образом:

Шановні жителі Сумської області!

Через російські авіаудари в регіоні почалися серйозні перебої з електроенергією та водопостачанням. Води і електрики не передбачається в найближчі три тижні.

Просимо вас в найближчі 48 годин придбати все необхідне для життя в екстрених умовах.

У вкладенні - рекомендації, які допоможуть вам пережити цей складний період. Обов'язково перепишіть їх на папір.

Другие группы киберпреступников, связанные с россией, часто атаковали серверы веб-почты, например, Roundcube и Zimbra, как правило с помощью фишинговых писем, которые запускают известные уязвимости XSS. Помимо злоумышленников Sednit, нацеленных в частности на правительственные и связанные с оборонной отраслью организации по всему миру, исследователи ESET обнаружили другую группу GreenCube. Эта група киберпреступников, также связанная с россией, похищала электронные письма через уязвимости XSS в Roundcube. С 2022 по 2024 год группа GreenCube неоднократно нацеливалась на правительственные и оборонные организации в Греции, Польше, Сербии и Украине.

Исследователи ESET также обнаружили заметное увеличение количества целей группы MirrorFace, связанной с Китаем. Как правило, сосредоточенные на японских организациях, киберпреступники на этот раз также добавили в свои цели дипломатическую организацию в Европейском Союзе. Кроме того, APT-группы, связанные с Китаем, все больше использовали мультиплатформенную SoftEther VPN с открытым кодом для поддержки доступа к сетям жертв.

Тем временем группы, связанные с Ираном, могли использовать угрозы для дипломатического шпионажа. Эти группы скомпрометировали несколько компаний по предоставлению финансовых услуг в Африке, совершали кибершпионские действия против соседних стран – Ирака и Азербайджана. Кроме того, группы, связанные с Ираном, преследовали дипломатических представителей во Франции и образовательные организации в Соединенных Штатах Америки.

Связанные с Северной Кореей группы продолжали атаковать оборонные и аэрокосмические компании в Европе и США, а также нацелились на разработчиков криптовалют, аналитические центры и неправительственные организации. Одна из таких групп, Kimsuky, начала использовать файлы Microsoft Management Console, которые применяют системные администраторы и которые могут выполнять любые команды Windows. Кроме того, несколько других групп часто злоупотребляли популярными облачными сервисами, в частности, Google Drive, Microsoft OneDrive, Dropbox, Yandex Disk, pCloud, GitHub и Bitbucket. Также впервые зафиксировано несанкционированное использование облачных сервисов Zoho APT-группой под названием ScarCruft.

Исследователи ESET заметили, что в странах Азии атаки киберпреступников были направлены преимущественно на правительственные организации, сосредотачиваясь и на образовательной отрасли. Группа Lazarus, связанная с Северной Кореей, продолжала атаковать финансовые и технологические компании по всему миру. На Ближнем Востоке несколько связанных с Ираном APT-групп продолжали атаковать правительственные организации, при этом Израиль больше всего пострадал от деятельности злоумышленников.

Стоит отметить, что APT-группа – это группировка высококвалифицированных хакеров, деятельность которых часто спонсируется определенным государством. Их целью является получение конфиденциальных данных правительственных учреждений, высокопоставленных лиц или стратегических компаний и при этом избежание обнаружения. Такие группы киберпреступников имеют большой опыт и используют сложные вредоносные инструменты и ранее неизвестные уязвимости.

Именно поэтому компаниям важно обеспечить максимальную защиту благодаря комплексному подходу к безопасности, в частности позаботиться о мощной защите устройств с помощью расширенного обнаружения и реагирования на угрозы, расширенного анализа в облаке и шифрования данных, а также понимать возможные векторы атак и особенности деятельности определенных групп, которые доступны именно в отчетах об APT-угрозах.

Исследователи ESET готовят подробную техническую информацию, постоянно обновляя данные о деятельности определенных APT-групп в форме расширенных отчетов, чтобы помочь соответствующим организациям защищать пользователей, критическую инфраструктуру и другие важные активы от целенаправленных кибератак. Дополнительные сведения о расширенных APT-отчетах, предоставляемых в рамках сервиса ESET Threat Intelligence, доступны по ссылке.

Подробнее о деятельности APT-групп читайте в полном отчете ESET.

В случае обнаружения вредоносной деятельности в собственных IT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.