Хакери все частіше використовують техніку «браузер у браузері» в Україні

Видання The Hacker News опублікувало матеріал, в якому розповіло про нову хакерську техніку «браузер у браузері», яку використовують проти України. Публікуємо скорочений переклад від імені автора.

Білоруський хакер, відомий як Ghostwriter (він же UNC1151), використовує нещодавно розкриту техніку «браузер у браузері» (BitB) в рамках своїх фішингових атак під час війни в Україні.

Цей метод, який маскується під законний домен, імітує вікно браузера в браузері та дає змогу проводити значні хакерські кампанії.

«Наслідувачі Ghostwriter швидко почали використовувати нову техніку, поєднавши її з раніше спостережуваною технікою та розмістили цільові сторінки для фішингу облікових даних на зламаних сайтах», — йдеться у новому звіті групи Google Threat Analysis Group (TAG). Вони використовують це для перекачування облікових даних, введених жертвами на віддалений сервер.

Серед інших груп, які використовують війну як приманку для фішингу та зловмисного програмного забезпечення є Mustang Panda і Scarab, а також хакери підзвітні таким державам як Іран, Північна Корея та росія.

До списку також входить Curious Gorge, команда хакерів, яку TAG приписує силам стратегічної підтримки народно-визвольної армії Китаю (PLASSF), яка організувала атаки на урядові та військові організації в Україні, росії, Казахстані та Монголії.

Третя група атак, спостережуваних протягом останніх двох тижнів, походить від російської хакерської групи, відомої як COLDRIVER (він же Calisto). TAG повідомив, що хакери організували кампанії фішингу акредитаційних даних, спрямовані проти кількох розташованих у США неурядових організацій і аналітичних центрів, військових балканської країни та неназваного українського оборонного підрядника.

«Однак вперше TAG спостерігав кампанії COLDRIVER, спрямовані на військових кількох країн Східної Європи, а також на центр передового досвіду НАТО», — сказав дослідник TAG Біллі Леонард. «Ці кампанії були розповсюджені за допомогою новостворених облікових записів Gmail на облікові записи, які не належать Google, тому рівень успіху цих кампаній невідомий».

Viasat відбиває атаку 24 лютого

24 лютого 2022 року американська телекомунікаційна компанія Viasat розповіла деталі «багатопланової та навмисної» кібератаки на свою мережу KA-SAT, яка збіглася з військовим вторгненням росії в Україну.

Атака на супутникову широкосмугову послугу відключила десятки тисяч модемів від мережі, вплинувши на кількох клієнтів в Україні та по всій Європі та на роботу 5800 вітрогенераторів німецької компанії Enercon в Центральній Європі.

«Ми вважаємо, що метою атаки було переривання обслуговування», — пояснили в компанії. «Немає жодних доказів того, що будь-які дані кінцевого користувача були доступні або скомпрометовані, або персональне обладнання клієнтів (ПК, мобільні пристрої тощо) було пошкоджене, а також немає жодних доказів того, що сам супутник KA-SAT або його супутникова земля, що підтримує сама інфраструктура була безпосередньо порушені або скомпрометовані».

Viasat пов’язав атаку з «вторгненням у наземну мережу», яке використовувало неправильну конфігурацію пристрою VPN для отримання віддаленого доступу до мережі KA-SAT. А також, виконання руйнівних команд на модемах, які «перезаписували ключові дані у флеш-пам’ять», відтворюючи їх.

Розповсюдження Cobalt Strike

Безжальні атаки є останньою в довгому списку зловмисних кібер-діяльностей, які виникли на хвилі триваючого конфлікту в Східній Європі, коли урядові та комерційні мережі потерпають від низки руйнівних заражень стирання даних у поєднанні з серією поточних поширених атак з відмовою в обслуговуванні (DDoS).

За словами дослідників з MalwareHunterTeam, це також набуло форми компрометації законних сайтів WordPress для введення шахрайського коду JavaScript з метою здійснення DDoS-атак на українські домени.

Але це не тільки Україна. Цього тижня Malwarebytes Labs розповіла про особливості нової кампанії фішингу, націленої на російських громадян і державних установ у спробі поширити шкідливі навантаження на зламаних системах.

«Підписні фішингові електронні листи попереджають людей, які користуються веб-сайтами, соціальними мережами, месенджерами та послугами VPN, які були заборонені урядом росії про те, що будуть висунуті кримінальні звинувачення», — сказав Хоссейн Джазі. «Жертв заманюють відкрити шкідливий вкладений файл або посилання, для того, щоб заразити Cobalt Strike».

Документи RTF із шкідливим програмним забезпеченням містять експлойт для широкого поширення вразливості віддаленого виконання коду MSHTML (CVE-2021-40444), що призводить до виконання коду JavaScript, який породжує команду PowerShell для завантаження та виконання маяка Cobalt Strike, отриманого з віддаленного сервера.

Інший кластер діяльності потенційно пов’язаний з російськими хакерами, який відстежується як Carbon Spider (він же FIN7), використовує подібний вектор атаки, орієнтований на maldocs, розроблений для скидання бекдора на основі PowerShell, здатного отримати та запустити виконуваний файл наступного етапу.

Malwarebytes також повідомила, що виявила «значне зростання сімейства шкідливих програм, які використовуються з метою крадіжки інформації або іншим чином, щоб отримати доступ в Україні», включаючи Hacktool.LOIC, Ainslot Worm, FFDroider, Formbook, Remcos та Quasar RAT.

«Хоча всі ці сім’ї є відносно поширеними у світі кібербезпеки, той факт, що ми були свідками їх використання точно тоді, коли російські війська перетнули український кордон, робить ці події цікавими та незвичайними», — сказав Адам Куява, директор Malwarebytes Labs.