Связанная с Россией хакерская группа APT28 атаковала организации в Америке, Азии и Европе широкомасштабной фишинговой атакой
В постоянно меняющемся ландшафте угроз кибербезопасности одно имя постоянно вызывает серьезную озабоченность: APT28 , злоумышленник, связанный с Россией, снова привлек к себе внимание благодаря своему участию в многочисленных текущих фишинговых кампаниях. Недавно опубликованные результаты IBM X-Force пролили свет на масштабы и сложность этих операций, подчеркнув широту охвата APT28 и разнообразные тактики, которые он использует для проникновения в цели по всему миру.
Метод работы APT28 вращается вокруг развертывания фишинговых кампаний с использованием документов-приманок, имитирующих как правительственные, так и неправительственные организации (НПО). Эти кампании охватывают все континенты и нацелены на регионы Европы, Южного Кавказа, Центральной Азии, а также Северной и Южной Америки. Использование таких разнообразных приманок, включая документы, связанные с финансами, критической инфраструктурой, участием руководителей, кибербезопасностью, морской безопасностью, здравоохранением, бизнесом и оборонно-промышленным производством, подчеркивает адаптивность и стратегическую направленность APT28.
Отчет IBM X-Force подчеркивает сложность операций APT28, показывая использование разнообразного набора тактик и инструментов. От индивидуальных имплантатов и средств кражи информации, таких как MASEPIE, OCEANMAP и STEELHOOK, до использования уязвимостей безопасности в широко используемых платформах, таких как Microsoft Outlook, APT28 демонстрирует всестороннее понимание ландшафта кибербезопасности.
Оглавление
Адаптация к меняющимся угрозам
Недавние результаты также проливают свет на способность APT28 адаптироваться к меняющимся обстоятельствам и использовать открывающиеся возможности. Например, использование обработчика протокола URI «search-ms:» в Microsoft Windows иллюстрирует способность APT28 использовать, казалось бы, безобидные функции в злонамеренных целях. Более того, данные свидетельствуют о том, что APT28 может использовать скомпрометированные маршрутизаторы Ubiquiti для размещения ключевой инфраструктуры, что подчеркивает опыт группы в использовании различных векторов атак.
Олицетворение и обман
Фишинговые атаки APT28 не только географически разнообразны, но и сложны в своей тактике обмана. Выдавая себя за организации из широкого круга стран, включая Аргентину, Украину, Грузию, Беларусь, Казахстан, Польшу, Армению, Азербайджан и США, APT28 создает видимость легитимности, которая повышает эффективность ее кампаний. Такое сочетание подлинности и обмана подчеркивает сложность ландшафта угроз, с которым сталкиваются организации по всему миру.
Заглядывая вперед
Поскольку APT28 продолжает развивать свою тактику и возможности, организациям крайне важно сохранять бдительность и активную защиту от таких угроз. Результаты, предоставленные IBM X-Force, служат ярким напоминанием о стойком и адаптивном характере киберугроз, что требует надежного и многогранного подхода к кибербезопасности.
Раскрытие деятельности APT28 компанией IBM X-Force подчеркивает продолжающуюся проблему, которую создают сложные субъекты угроз в сфере кибербезопасности. Проливая свет на тактику, инструменты и цели APT28, организации смогут лучше понять и смягчить риски, исходящие от этого грозного противника. Однако бдительность и сотрудничество остаются первостепенными, когда мы вместе преодолеваем постоянно меняющийся ландшафт угроз.