APT28 angriber netværk i Europa med malware

APT28 har brugt HeadLace-malwaren og websider til indsamling af legitimationsoplysninger i angreb mod netværk i hele Europa.

Researchere ved Insikt Group har observeret den russiske efterretningstjeneste GRU's enhed APT28 angribe netværk på tværs af Europa med malware og infostealere mhp. at indsamle information og legitimationsoplysninger.

Det skriver Security Affairs.

Den malware, der var tale om, var Headlace, der har været implementeret over tre omgange fra april til december 2023 ved brug af phishing, kompromitterede internettjenester og ”living off land binaries”. Living off land binaries eller LoLBins er en særlig adfærd blandt angribere, hvor værktøjer som allerede findes i det målrettede miljø, anvendes til et angreb. I den fysiske verden refereres det "at leve af jorden" til at leve af de ressourcer, som findes i naturen.

Og infostealeren blev angiveligt etableret på sider, der kunne omgå to-faktor-autentificering og CAPTCHA-teknikker ved at videresende anmodninger mellem legitime tjenester og kompromitterede Ubiquiti-routere.

Hos nogle angribere skabte trusselsaktører specialfremstillede websider på Mocky. Mocky interagerer med et Python-script, der kører på kompromitterede Ubiquiti-routere for at eksfiltrere de angivne legitimationsoplysninger.

Konkret havde aktiviteterne til formål at indsamle legitimationsoplysninger og rettet mod Ukraines forsvarsministerium, europæisk transportinfrastruktur og en tænketank fra Aserbajdsjan.

Årsagen er oplagt, som Security Affairs skriver: Information fra Ukraines forsvarsministerium og europæiske jernbanesystemer kan give angribere efterretninger der kan bruges på slagmarken, mens interessen for Aserbajdsjans center for økonomisk og social udvikling kan skyldes muligheden for at påvirke regionale politikker.

APT28-gruppen er også kendt som Fancy Bear, Pawn Storm, Sofacy Group, Sednit, BlueDelta og STRONTIUM og har ifølge Security Affairs været aktiv siden mindst 2007, og den har haft aktiviteter rettet mod regeringer, militær og sikkerhedsorganisationer verden over.

Insikt Group er sikkerhedsvirksomheden Recorded Futures trusselsenhed, og det er således medarbejdere herfra, der ligesom mange andre sikkerhedsvirksomheder har observeret APT28 kompromittere netværk i Europa.

Links

https://securityaffairs.com/164061/apt/apt28-headlace-malware-europe.html

Keywords: