Sinds de Russische invasie van Oekraïne begon, gebruikt Rusland allerlei tactieken, waaronder cyberoorlogvoering, om de weegschaal in zijn voordeel te laten doorslaan. Volgens beveiligingsonderzoekers van het Computer Emergency Response Team van Oekraïne (CERT-UA) zijn door de Russische staat gesponsorde hackers van de APT28-groep targeting Oekraïense overheidsmedewerkers met malware vermomd als Windows-updates om vitale informatie te stelen.
p>Bij deze aanvallen sturen Russische hackers kwaadaardige e-mails met instructies voor het updaten van Windows als verdediging tegen cyberaanvallen. In plaats van legitieme instructies te geven, bevat de e-mail echter een PowerShell-opdracht die een PowerShell-script downloadt. Dit script simuleert vervolgens een valse Windows-update terwijl het een tweede payload op de achtergrond downloadt, een tool die gegevens verzamelt en verzendt naar een Mocky-service-API via een HTTP-verzoek. Om deze kwaadaardige e-mails geloofwaardiger te laten lijken, hebben de aanvallers bovendien valse @outlook.com-e-mailadressen gemaakt met de echte namen van systeembeheerders.
In een poging om te voorkomen dat werknemers het slachtoffer worden van deze aanval, de CERT-UA heeft alle systeembeheerders geadviseerd om de mogelijkheid om PowerShell op kritieke computers te starten te beperken en netwerkverkeer te controleren op verbindingen met de Mocky-service-API.
Niet de enige cyberaanval op Oekraïne
De oorlog tussen Rusland en Oekraïne is nu al meer dan een jaar aan de gang , en dit is niet de eerste keer dat de door de staat gesponsorde APT28-groep in verband wordt gebracht met cyberaanvallen op Oekraïne. De Threat Analysis Group van Google meldde onlangs zelfs dat meer dan 60% van de totale cyberaanvallen en phishing-e-mails gericht op Oekraïne afkomstig was uit Rusland, met APT28 achter een aanzienlijk deel.
Terwijl de oorlog voortduurt en Oekraïne erin slaagt stand te houden, zal Rusland waarschijnlijk nieuwe vormen van aanvallen lanceren om de verdediging van Oekraïne te verzwakken. Daarom moeten bedrijven en overheidsinstanties hun werknemers trainen om verdachte e-mails te identificeren en te rapporteren en om alle software up-to-date te houden.
