Nhóm tin tặc liên quan đến Nga được gọi là APT28 có liên quan đến nhiều chiến dịch lừa đảo đang diễn ra sử dụng các tài liệu dụ dỗ bắt chước các tổ chức chính phủ và phi chính phủ (NGO) ở châu Âu, Nam Caucasus, Trung Á, Bắc và Nam Mỹ.
"Các mồi nhử được phát hiện bao gồm một hỗn hợp các tài liệu nội bộ và công khai, cũng như các tài liệu có thể do tác nhân tạo ra liên quan đến tài chính, cơ sở hạ tầng quan trọng, cam kết điều hành, an ninh mạng, an ninh hàng hải, chăm sóc sức khỏe, kinh doanh và sản xuất công nghiệp quốc phòng", IBM X-Force cho biết trong một báo cáo được công bố vào tuần trước.
Công ty công nghệ đang theo dõi hoạt động dưới biệt danh ITG05, còn được gọi là Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (trước đây là Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, TA422 và UAC-028.
Tiết lộ được đưa ra hơn ba tháng sau khi kẻ thù bị phát hiện sử dụng mồi nhử liên quan đến cuộc chiến Israel-Hamas đang diễn ra để cung cấp một cửa hậu tùy chỉnh có tên là HeadLace.
APT28 kể từ đó cũng đã nhắm mục tiêu vào các cơ quan chính phủ Ukraine và các tổ chức Ba Lan bằng các tin nhắn lừa đảo được thiết kế để triển khai cấy ghép và đánh cắp thông tin riêng biệt như MASEPIE, OCEANMAP và STEELHOOK.
Các chiến dịch khác đã kéo theo việc khai thác các lỗ hổng bảo mật trong Microsoft Outlook (CVE-2023-23397, điểm CVSS: 9.8) để cướp bóc các băm NT LAN Manager (NTLM) v2, làm tăng khả năng tác nhân đe dọa có thể tận dụng các điểm yếu khác để trích xuất các hàm băm NTLMv2 để sử dụng trong các cuộc tấn công chuyển tiếp.
Các chiến dịch mới nhất được IBM X-Force quan sát từ cuối tháng 11/2023 đến tháng 2/2024 tận dụng trình xử lý giao thức URI "search-ms:" trong Microsoft Windows để lừa nạn nhân tải xuống phần mềm độc hại được lưu trữ trên các máy chủ WebDAV do tác nhân kiểm soát.
Có bằng chứng cho thấy cả hai máy chủ WebDAV, cũng như các máy chủ MASEPIE C2, có thể được lưu trữ trên các bộ định tuyến Ubiquiti bị xâm nhập, một mạng botnet bao gồm đã bị chính phủ Hoa Kỳ gỡ xuống vào tháng trước.
Cao trào của kế hoạch phức tạp của APT28 kết thúc với việc thực thi MASEPIE, OCEANMAP và STEELHOOK, được thiết kế để trích xuất các tệp, chạy các lệnh tùy ý và đánh cắp dữ liệu trình duyệt. OCEANMAP đã được mô tả như một phiên bản có khả năng hơn của CredoMap, một backdoor khác trước đây được xác định là được sử dụng bởi nhóm.