Microsoft повідомила, що отримала ухвалу суду про контроль над сімома доменами, якими користується APT28, спонсорована державою група російської військової розвідки, з метою нейтралізації її атак на Україну.

APT28, також відома під іменами Sofacy, Sednit, Pawn Storm, Fancy Bear, Iron Twilight і Strontium, є кібершпигунською групою та передовою стійкою загрозою, яка, як відомо, активна з 2009 року, та яка вражає ЗМІ, уряди, військові та міжнародні органи, неурядові організації, які часто зосереджені на безпеці.

Технологічний гігант зазначив, що інфраструктура-воронка використовувалася зловмисником для націлення на українські установи, а також уряди та аналітичні центри в США та Європейському Союзі, щоб підтримувати довгостроковий постійний доступ та вилучати конфіденційну інформацію.

Meta вживає заходів проти Ghostwriter і Phosphorus

Розкриття інформації від Microsoft відбулося після того, як компанія Meta, раніше відома як Facebook, повідомила, що вжила заходів проти прихованих ворожих мереж з Азербайджану та Ірану на своїй платформі, видаливши облікові записи та заблокувавши доступ до їхніх доменів.

Вважається , що азербайджанська операція виокремила демократичних активістів, опозиційні групи і журналістів з країни та критиків уряду за кордоном для здійснення фішингу та шпигунської діяльності.

Ще один учасник – UNC788 (також відома як Charming Kitten, TA453 або Phosphorus), пов’язана з урядом хакерська група, яка має історію проведення операцій спостереження на підтримку стратегічних пріоритетів Ірану.

«Ця група використовувала комбінацію фальшивих облікових записів із низьким рівнем витонченості та складніших фіктивних персонажів, які вони, ймовірно, використовували, щоб побудувати довіру з потенційними цілями та обманом змусити їх натиснути на фішингові посилання або завантажити шкідливі програми», – окреслила Meta у своєму першому квартальному випуску Adversarial Threat .

Шкідливі програми Android, які отримали назву HilalRAT, імітували, здавалося б, нешкідливі програми, які стосуються Корану, щоб витягувати конфіденційну інформацію, таку як список контактів, текстові повідомлення, файли, інформацію про місцезнаходження, а також активувати камеру та мікрофон.

Meta також зазначила, що заблокувала зловмисну ​​діяльність, пов’язану з незареєстрованою іранською хакерською групою, яка використовувала тактику, подібну до Tortoiseshell , для націлювання на компанії в енергетиці, ІТ, морській логістиці, напівпровідникових і телекомунікаційних галузях.

Ця кампанія містила складний набір фіктивних профілів в Instagram, LinkedIn, Facebook і Twitter, а хакери видавали себе за рекрутерів реальних і підставних компаній, щоб обманом змусити користувачів натиснути на фішингові посилання та доставити зловмисне програмне забезпечення, що викрадає інформацію, та яке було замасковано під VPN, калькулятор, аудіокниги та програми для обміну повідомленнями.

«Вони розробили шкідливе програмне забезпечення на платформі віртуалізації VMWare ThinApp, що дозволило їм запускати його на багатьох різних системах і утримувати шкідливе корисне навантаження до останньої хвилини, що робить виявлення шкідливого програмного забезпечення більш складним», – пояснили в Meta.

Нарешті, Мета також зірвала спроби захоплення, зроблені групою Ghostwriter , пов’язаною з Білоруссю, щоб проникнути в акаунти Facebook десятків українських військових.

Атаки були спрямовані на отримання доступу до акаунтів жертв у соціальних мережах і розміщували дезінформацію, «закликаючи армію здатися, ніби ці дописи надходять від законних власників акаунтів».