Az APT28 néven ismert, Oroszországhoz kapcsolódó kiberbűnözői csoport több olyan folyamatban lévő phishing kampányhoz köthető, amelyek kormányzati és egyéb szervek nevében különböző „csalidokumentumokat” alkalmaznak Európában, Ázsiában, illetve Észak- és Dél-Amerikában is.
Az IBM X-Force közleménye szerint a dokumentumok különböző belső és nyilvánosan elérhető iratok, illetve a csoport által generált egyedi dokumentumokat is tartalmazhatnak. A témájuk változó, szerepelnek köztük pénzügyekkel, kritikus infrastruktúrákkal, kiberbiztonsággal, egészségüggyel, illetve ipari szférával is foglalkozó iratok is.
Ezek közzététele több mint három hónappal azután történt meg, hogy a csoport az Izrael-Hamász konfliktussal kapcsolatos „csalikat” használt a HeadLace nevű backdoor kihasználásának érdekében.
Az APT 28 ukrán és lengyel kormányzati szerveket is megcélzott, olyan adathalász üzenetekkel, amelyek célja információlopó kártevők telepítése volt (pl.: MASEPIE, OCEANMAP, STEELHOOK). Más kampányok során a Microsoft Outlook biztonsági hibáit (CVE-2023-23397) használták ki az NTLM hashek megszerzésére, melyek segítségével relay támadásokat kivitelezhetett a csoport.
Az IBM X-Force által megfigyelt legújabb támadásokban, melyek 2023. november vége és 2024. február vége között zajlottak, a támadók a Microsoft Windowsban található URI protokollkezelőt használták ki.
A felhasználókat megpróbálták különböző módokon átverni, és elérni, hogy egy malwaret töltsenek le eszközükre. A kártevők a csoport által üzemeltetett WebDAV kiszolgálókról kerültek letöltésre. Egyes bizonyítékok arra utalnak, hogy a WebDAV és MASEPIE C2 kiszolgálók azokon a kompromittált Ubiquiti routereken működhettek, amelyekből álló botnetet az amerikai kormányzatnak a múlt hónapban sikerült megszüntetnie.
„A csoport újabban az ITG05 nevű tárhelyszolgáltató erőforrásait használja fel a különböző payload műveletekhez” – mondta Joe Fasulo, Claire Zaboeva és Golo Mühr biztonsági kutatók.
