Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Ostatnie cyberataki na Rosje

Kapitan Hack / Cybernews / Ostatnie cyberataki na Rosje

Często piszemy o cyberatakach na Stany albo amerykańskich sojuszników. Oczywiście jak to bywa, nic nie jest jednostronne, a walka toczy się na wielu frontach. W tym tygodniu Badacze bezpieczeństwa z Malwarebytes ujawnili, że cyberprzestępcy atakują rosyjskie organizacje rządowe. Wykorzystują w tym celu niedawno załataną lukę zero-day MSHTML w pakiecie Microsoft Office. Specjaliści informują, że miało to miejsce w atakach na co najmniej dwie organizacje w Rosji, a mianowicie Państwowe Centrum Rakietowe Spółki Akcyjnej (JSC GREC Makeyev) oraz Ministerstwo Spraw Wewnętrznych w Moskwie.

Podatność jest sklasyfikowana jako CVE-2021-40444. Problem został publicznie ujawniony 7 września, ale ataki na niego były obserwowane od połowy sierpnia.

Microsoft naprawił błąd we wtorkowych aktualizacjach z września 2021 r. i wkrótce potem ujawnił, że operatorzy oprogramowania ransomware zaczęli go wykorzystywać. Wcześniej firma twierdziła, że luka w zabezpieczeniach została wykorzystana w atakach ukierunkowanych, co wskazuje na aktywność zaawansowanego aktora lub grupy ATP.

W środowym raporcie Malwarebytes również sugeruje, że za ostatnio zaobserwowanym atakiem na rosyjskie podmioty prawdopodobnie stoi APT.

„Rzadko znajdujemy dowody cyberprzestępczości przeciwko rosyjskim podmiotom. Biorąc pod uwagę cele, zwłaszcza pierwszy, podejrzewamy, że za tymi atakami może kryć się sponsorowany przez państwo podmiot i staramy się ustalić źródło ataków” – mówi firma zajmująca się cyberbezpieczeństwem.

W ataku na JSC GREC Makiejew – krajowe centrum obronno-przemysłowe technologii rakietowej i kosmicznej – wykorzystano e-maile phishingowe rzekomo pochodzące z działu HR, w których proszono odbiorców o wypełnienie załączonego formularza i przesłanie go do działu HR.

Gdy odbiorca otworzył załączony dokument, został poproszony o umożliwienie edycji, co natychmiast uruchomiło exploita. Po załadowaniu specjalnie spreparowanej kontrolki ActiveX osoba atakująca może uruchomić dowolny kod i zainfekować komputer ofiary złośliwym oprogramowaniem.

Podczas drugiego ataku wykorzystano podobną socjotechnikę. Mail sugerował, że jest z rosyjskiego Ministerstwa Spraw Wewnętrznych i wymagał od odbiorcy otwarcia załączonego formularza i zwrócenia go nadawcy.

CVE-2021-40444 będzie prawdopodobnie coraz częściej wykorzystywany w atakach, pomimo użycia ActiveX. Jest to niedawna luka w zabezpieczeniach, a cyberprzestępcy już udostępniają jej kod sprawdzający koncepcję, samouczki i exploity.

W tym kontekście dość ciekawe wydają się informacje z sierpnia br. Positive Technologies rosyjska firma zajmującej się cyberbezpieczeństwem, informowała, że powiązana z Chinami grupa hackerska APT31 wykorzystuje nowe złośliwe oprogramowanie w ostatnich atakach wymierzonych w Mongolię, Białoruś, Kanadę, Stany Zjednoczone i – po raz pierwszy – w Rosję.

Uważa się, że APT31, śledzony również jako Judgment Panda, Zirconium i Red Keres, działa w imieniu chińskiego rządu, prowadząc kampanie cyberszpiegowskie przeciwko celom interesującym ten kraj.

W lipcu 2021 r. grupa została oficjalnie oskarżona o atakowanie luk w serwerach Microsoft Exchange w imieniu Chin, a Francja ostrzegła przed ciągłym wykorzystywaniem przez APT31 zhakowanych routerów w złośliwych atakach.

Uważa się, że grupa ta przeprowadziła co najmniej 10 cyberataków między styczniem a lipcem 2021 r., dostarczając trojana zdalnego dostępu (RAT) i atakując głównie podmioty w Mongolii, Rosji, Białorusi, Kanadzie i Stanach Zjednoczonych.

Według Positive Technologies, po raz pierwszy ta konkretna grupa zagrożeń zaatakowała Rosję, a dowody sugerują, że przynajmniej niektóre z jej celów stanowiły organizacje rządowe.

W ramach tej aktywności cyberszpiedzy wykorzystali nowy dropper złośliwego oprogramowania, który wykorzystuje ładowanie boczne DLL do wykonania złośliwego ładunku na maszynie docelowej (wraz ze złośliwą biblioteką dropper wdraża i wykonuje na zaatakowanej maszynie aplikację podatną na sideloading DLL).

Złośliwa biblioteka naśladuje legalny plik MSVCR100.dll, którego używa aplikacja Microsoft Visual Studio, próbując ukryć swoją aktywność.

Podczas dochodzenia w sprawie działalności grupy hakerskiej analitycy bezpieczeństwa Positive Technologies odkryli kilka wersji droppera, w tym jedną, która pobiera wszystkie pliki z serwera dowodzenia i kontroli.

Biorąc pod uwagę liczne podobieństwa do DropboxAES RAT, które Secureworks wcześniej przypisywał APT31, Positive Technologies doszło do wniosku, że bada wariant tego samego szkodliwego oprogramowania, który wykazywał tylko niewielkie różnice. Nie zaobserwowano jednak nakładania się infrastruktur sieciowych wykrytych próbek złośliwego oprogramowania.

Przypomnijmy, że Positive Technologies została niedawno dotknięta sankcjami USA za rzekome wspieranie agencji wywiadowczych Kremla. Zapowiedziała jednak, że będzie nadal odpowiedzialnie ujawniać luki wykryte przez jej pracowników w produktach największych amerykańskich firm.

Autor: 5 min czytania

Popularne

Grupa ransomware ALP-001 twierdzi, że zaatakowała Polsat

Grupa ransomware ALP-001 twierdzi, że zaatakowała Polsat

W niedzielę wieczorem na zagranicznych serwisach newsowych poświęconych malware pojawiły się informacje o cyberataku na serwis Polsatu. Według doniesień za incydent odpowiada grupa ransomware ALP-001, która...
5 min czytania 31 mar 2026 06:15
DarkSword – cichy zabójca iPhone’ów. Nowy exploit, który przejmuje kontrolę nad urządzeniem w kilka sekund

DarkSword – cichy zabójca iPhone’ów. Nowy exploit, który przejmuje kontrolę nad urządzeniem w kilka sekund

Powstał nowy, zaawansowany zestaw exploitów wymierzony w użytkowników iPhone’ów. Narzędzie o nazwie DarkSword pokazuje, że nawet platformy uznawane za jedne z najbezpieczniejszych mogą stać się celem...
5 min czytania 20 mar 2026 06:43
ClickFix na macOS, czyli jak użytkownicy sami instalują malware i jak Apple próbuje to powstrzymać

ClickFix na macOS, czyli jak użytkownicy sami instalują malware i jak Apple próbuje to powstrzymać

Współczesne cyberataki rzadko polegają na wykorzystywaniu luk w oprogramowaniu. Zamiast tego cyberprzestępcy coraz częściej manipulują samymi użytkownikami, nadużywając ich zaufania i obserwując rutynowe z...
5 min czytania 1 kwi 2026 07:42
Irańscy hakerzy włamali się na skrzynkę dyrektora FBI. Atak elementem cyberwojny

Irańscy hakerzy włamali się na skrzynkę dyrektora FBI. Atak elementem cyberwojny

Grupa hakerska powiązana z Iranem przeprowadziła skuteczny atak na prywatną skrzynkę e-mail dyrektora FBI, Kasha Patela. Incydent szybko stał się głośny nie tylko ze względu na rangę celu, ale także jak...
5 min czytania 2 kwi 2026 08:23
WhatsApp jako wektor ataku – Microsoft ostrzega przed nową kampanią malware ukrytą w wiadomościach

WhatsApp jako wektor ataku – Microsoft ostrzega przed nową kampanią malware ukrytą w wiadomościach

Cyberprzestępcy po raz kolejny wykorzystują zaufanie użytkowników do popularnych komunikatorów. Najnowsze ostrzeżenie Microsoftu ujawnia zaawansowaną kampanię, w której złośliwe oprogramowanie jest rozsy...
5 min czytania 3 kwi 2026 08:32
Popularne
Grupa ransomware ALP-001 twierdzi, że zaatakowała Polsat
DarkSword – cichy zabójca iPhone’ów. Nowy exploit, który przejmuje kontrolę nad urządzeniem w kilka sekund
ClickFix na macOS, czyli jak użytkownicy sami instalują malware i jak Apple próbuje to powstrzymać
Irańscy hakerzy włamali się na skrzynkę dyrektora FBI. Atak elementem cyberwojny
WhatsApp jako wektor ataku – Microsoft ostrzega przed nową kampanią malware ukrytą w wiadomościach
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.