Hackerská skupina APT28 spojená s Ruskem se zaměřuje na organizace v Americe, Asii a Evropě pomocí rozsáhlého phishingového útoku
V neustále se vyvíjejícím prostředí kyberbezpečnostních hrozeb se jedno jméno neustále objevuje jako významný problém: APT28 , aktér hrozeb s vazbami na Rusko, opět upoutal pozornost díky svému zapojení do řady probíhajících phishingových kampaní. Nedávno zveřejněná zjištění IBM X-Force vrhla světlo na rozsah a propracovanost těchto operací a zdůraznila šíři dosahu APT28 a rozmanité taktiky, které používá k infiltraci cílů po celém světě.
Modus operandi APT28 se točí kolem zavádění phishingových kampaní využívajících návnadové dokumenty, které napodobují jak vládní, tak nevládní organizace (NGO). Tyto kampaně pokrývají kontinenty a cílí na regiony v Evropě, na jižním Kavkaze, ve Střední Asii a také na Severní a Jižní Ameriku. Použití takových rozmanitých lákadel, včetně dokumentů týkajících se financí, kritické infrastruktury, výkonných závazků, kybernetické bezpečnosti, námořní bezpečnosti, zdravotnictví, obchodu a obranné průmyslové výroby, podtrhuje přizpůsobivost a strategické zaměření APT28.
Zpráva IBM X-Force podtrhuje sofistikovanost operací APT28 a odhaluje využití rozmanité řady taktik a nástrojů. Od zakázkových implantátů a kradačů informací, jako jsou MASEPIE, OCEANMAP a STEELHOOK, až po využívání bezpečnostních zranitelností v široce používaných platformách, jako je Microsoft Outlook, APT28 demonstruje komplexní pochopení prostředí kybernetické bezpečnosti.
Obsah
Přizpůsobení se vyvíjejícím se hrozbám
Nedávná zjištění také vrhají světlo na agilitu APT28 při přizpůsobování se měnícím se okolnostem a využívání nových příležitostí. Použití obslužného programu protokolu URI „search-ms:“ v Microsoft Windows například ilustruje schopnost APT28 využít zdánlivě neškodné funkce pro škodlivé účely. Důkazy navíc naznačují, že APT28 může využívat kompromitované směrovače Ubiquiti k hostitelské klíčové infrastruktuře, což zdůrazňuje sofistikovanost skupiny při využívání různých vektorů útoků.
Předstírání identity a podvod
Phishingové útoky APT28 jsou nejen geograficky různorodé, ale také sofistikované ve své klamavé taktice. Tím, že se APT28 vydává za subjekty z celé řady zemí, včetně Argentiny, Ukrajiny, Gruzie, Běloruska, Kazachstánu, Polska, Arménie, Ázerbájdžánu a USA, vytváří pozlátko legitimity, která zvyšuje efektivitu jejích kampaní. Tato směs autenticity a podvodu podtrhuje složitost hrozeb, kterým čelí organizace po celém světě.
Dívat se dopředu
Vzhledem k tomu, že APT28 pokračuje ve vývoji své taktiky a schopností, je nezbytné, aby organizace zůstaly ostražité a proaktivní při obraně proti takovým hrozbám. Poznatky poskytnuté IBM X-Force slouží jako jasná připomínka trvalé a adaptivní povahy kybernetických hrozeb, což vyžaduje robustní a mnohostranný přístup ke kybernetické bezpečnosti.
Zveřejnění aktivit APT28 ze strany IBM X-Force podtrhuje pokračující výzvu, kterou představují sofistikovaní aktéři hrozeb v prostředí kybernetické bezpečnosti. Osvětlením taktiky, nástrojů a cílů APT28 mohou organizace lépe pochopit a zmírnit rizika, která tento impozantní protivník představuje. Ostražitost a spolupráce však zůstávají prvořadé, protože společně procházíme neustále se vyvíjejícím prostředím hrozeb.