Google інформує щодо ситуації з онлайн загрозами

10 марта 2022 г., 13:25

Група аналізу загроз Google (TAG) працює цілодобово, зосереджуючись на безпеці українських користувачів і платформ, які допомагають їм отримувати доступ до важливої інформації та обмінюватися нею.

Протягом останніх двох тижнів TAG спостерігала за активністю з боку низки груп зловмисників, які ми регулярно відстежуємо та які добре відомі правоохоронним органам, зокрема такі хакерські групи як FancyBear і Ghostwriter. Ця діяльність варіюється від шпигунства до фішингових кампаній. Google ділиться цією інформацією, щоб допомогти підвищити обізнаність серед спільноти безпеки та користувачів із високим ризиком:

FancyBear/APT28 – хакерська група, яку пов'язують із російським ГРУ, провела кілька великих фішингових кампаній, спрямованих на користувачів української медіакомпанії UkrNet. Фішингові листи надсилаються з великої кількості зламаних облікових записів (не Gmail/Google) і містять посилання на домени, контрольовані зловмисниками.

У двох останніх кампаніях зловмисники використовували нещодавно створені домени Blogspot як початкову цільову сторінку, яка потім переспрямовували цілі на фішингові сторінки з обліковими даними. Усі відомі домени Blogspot, які контролюються зловмисниками, видалено.

Приклади фішингових доменів облікових даних, які спостерігалися під час цих кампаній:

iid-unconfirmeduser[.]frge[.]io
hatdfg-rhgreh684[.]frge[.]io
ua-consumerpanel[.]frge[.]io
consumerspanel[.]frge[.]io

Ghostwriter/UNC1151 – білоруська група кіберзловмисників, протягом останнього тижня проводила фішингові кампанії проти польських та українських урядових і військових організацій. TAG також визначила кампанії, націлені на користувачів веб-пошти від таких провайдерів:

i.ua
meta.ua
rambler.ru
ukr.net
wp.pl
yandex.ru

Приклади фішингових доменів облікових даних, які спостерігалися під час цих кампаній:

accounts[.]secure-ua[.]website
i[.]ua-passport[.]top
login[.]creditals-email[.]space
post[.]mil-gov[.]space
verify[.]rambler-profile[.]site

Ці фішингові домени заблоковано через Google Safe Browsing – службу, яка визначає небезпечні вебсайти в Інтернеті та сповіщає користувачів і власників вебсайтів про потенційну шкоду.

Mustang Panda або Temp.Hex – група кіберзловмисників, яка базується в Китаї, націлилася на європейські організації за допомогою приманок, пов’язаних з вторгненням в Україну. TAG виявив шкідливі вкладення з іменами файлів, наприклад «Situation at the EU borders with Ukraine.zip». У zip-файлі міститься однойменний файл, який є основним завантажувачем, і якщо його відкрити, він завантажує кілька додаткових файлів, які встановлюють остаточний файл. Щоб зменшити шкоду, TAG повідомила відповідні органи про свої висновки.

Орієнтація на європейські організації являє собою відхід від звичайних цілей Mustang Panda в Південно-Східній Азії.

Також TAG продовжує спостерігати спроби DDoS-атак проти численних сайтів в Україні, зокрема «Міністерства закордонних справ», «Міністерства внутрішніх справ», а також таких сервісів, як Liveuamap, які створені, щоб допомогти людям знайти інформацію. Google розширила доступ до Project Shield, безкоштовного захисту від DDoS-атак, щоб українські урядові вебсайти, посольства в усьому світі та інші уряди в безпосередній близькості від конфлікту могли залишатися онлайн, захищатися і продовжувати пропонувати свої важливі послуги та забезпечувати доступ до потрібної людям інформації.

Project Shield дозволяє Google поглинати поганий трафік під час DDoS-атаки та діяти як «щит» для вебсайтів, дозволяючи їм продовжувати працювати та захищатися від цих атак. На сьогодні сервісом користуються понад 150 вебсайтів в Україні, у тому числі багато інформаційних організацій. Бажаючі також можуть подати заявку.