Les groupes APT russes intensifient les cyberattaques contre l'Ukraine
Alors que la guerre en Ukraine va et vient, avec les accords de cessez-le-feu d'aujourd'hui et les efforts pour évacuer la population civile en toute sécurité, le conflit continue de faire rage dans le cyberespace. Selon les rapports du groupe d'analyse des menaces de Google, deux APT soutenant le gouvernement russe attaquent des cibles ukrainiennes et une équipe chinoise utilise la situation actuelle pour frapper des cibles européennes.
Les APT russes et chinois ciblent l'Ukraine et l'Europe
Les deux entités pro-russes que Google met en avant comme fer de lance des cyberattaques actuelles contre des cibles ukrainiennes sont Fancy Bear, également connu sous le nom d'APT28 , et Ghostwriter, un groupe de menace persistant actif qui était lié à la Biélorussie fin 2021.
Google signale également une augmentation de l'activité de l'APT appeléeMustang Panda, qui est lié à des acteurs chinois. L'équipe chinoise cible actuellement des entités basées en Europe, en utilisant des leurres de phishing liés au conflit en cours et à l'afflux de réfugiés dans un certain nombre de pays européens.
Les attaques de phishing lancées par les APT pro-russes utilisent des adresses e-mail précédemment compromises et redirigent les victimes potentielles vers des pages contrôlées par l'APT - une procédure de phishing largement standard. Google a repéré Ghostwriter lançant des campagnes de phishing contre des entités militaires et gouvernementales ukrainiennes et polonaises.
Google a signalé qu'un certain nombre de domaines utilisés pour le phishing d'informations d'identification ont déjà été bloqués via la fonctionnalité de "navigation sécurisée" de Google. Les domaines comprenaient des noms inhabituels tels que "i dot ua-passport dot top" et "login dot credits-email dot space".
Mustang Panda profite de la situation actuelle des réfugiés
Pendant ce temps, le chinois Mustang Panda envoie des leurres de phishing à des entités européennes, en joignant des fichiers malveillants dans les e-mails avec des noms suggérant une sorte d'information importante ou d'urgence. Le rapport de Google mentionne des pièces jointes avec des noms de fichiers tels que "Situation aux frontières de l'UE avec l'Ukraine.zip". La pièce jointe contiendrait un fichier exécutable qui fonctionne comme un téléchargeur pour la charge utile finale.
Le groupe d'analyse des menaces de Google a déjà pris les dispositions nécessaires et a informé toutes les entités et autorités des pays ciblés par les campagnes de phishing.