Microsoft hat am Donnerstag bekannt gegeben, dass es einen Gerichtsbeschluss erwirkt hat, um die Kontrolle über sieben Domains zu übernehmen, die von APT28, einer vom russischen Militärgeheimdienst gesteuerten Gruppe, verwendet werden, um ihre Angriffe auf die Ukraine zu neutralisieren.
„Wir haben diese Domains in ein von Microsoft kontrolliertes Sinkhole umgeleitet, so dass wir die aktuelle Nutzung dieser Domains durch Strontium eindämmen und die Benachrichtigung der Opfer ermöglichen können“, sagte Tom Burt, Microsofts Corporate Vice President of Customer Security and Trust.
APT28, auch bekannt unter den Namen Sofacy, Sednit, Pawn Storm, Fancy Bear, Iron Twilight und Strontium, ist eine Cyberspionagegruppe und eine fortschrittliche, anhaltende Bedrohung, die seit 2009 aktiv ist und Medien, Regierungen, das Militär und internationale Nichtregierungsorganisationen (NGOs) angreift, die oft einen Sicherheitsschwerpunkt haben.
Der Tech-Gigant stellte fest, dass die Sinkhole-Infrastruktur von dem Bedrohungsakteur genutzt wurde, um ukrainische Institutionen sowie Regierungen und Think Tanks in den USA und der Europäischen Union anzugreifen, um sich langfristig Zugang zu verschaffen und sensible Informationen zu exfiltrieren.
Meta ergreift Maßnahmen gegen Ghostwriter und Phosphorus
Die Mitteilung von Microsoft kommt zu einem Zeitpunkt, an dem Meta, das Unternehmen, das früher unter dem Namen Facebook bekannt war, bekannt gab, dass es Maßnahmen gegen verdeckte feindliche Netzwerke aus Aserbaidschan und dem Iran auf seiner Plattform ergriffen hat, indem es die Konten löschte und ihre Domains für die gemeinsame Nutzung sperrte.
Es wird vermutet, dass die aserbaidschanische Operation Demokratieaktivisten, Oppositionsgruppen und Journalisten aus dem Land sowie Regierungskritiker im Ausland ins Visier genommen hat, um Credential Phishing und Spionageaktivitäten durchzuführen.
Eine weitere Aktion betraf UNC788 (auch bekannt als Charming Kitten, TA453 oder Phosphorus), eine regierungsnahe Hackergruppe, die in der Vergangenheit Überwachungsaktionen zur Unterstützung der strategischen Prioritäten des Iran durchgeführt hat.
„Diese Gruppe nutzte eine Kombination aus einfachen gefälschten Konten und komplizierteren fiktiven Persönlichkeiten, die sie wahrscheinlich dazu nutzten, Vertrauen bei potenziellen Zielpersonen aufzubauen und sie dazu zu bringen, auf Phishing-Links zu klicken oder bösartige Anwendungen herunterzuladen“, so Meta in seinem ersten vierteljährlichen Bericht über Bedrohungen durch Angreifer.
Die bösartigen Android-Anwendungen mit dem Namen HilalRAT gaben sich als scheinbar harmlose Koran-Apps aus, um sensible Informationen wie Kontaktlisten, Textnachrichten, Dateien und Standortinformationen abzugreifen sowie Kamera und Mikrofon zu aktivieren.
Meta hat außerdem die bösartigen Aktivitäten einer nicht gemeldeten iranischen Hackergruppe blockiert, die ähnliche Taktiken wie Tortoiseshell anwendet, um Unternehmen aus der Energie-, IT-, Seelogistik-, Halbleiter- und Telekommunikationsbranche anzugreifen oder zu täuschen.
Bei dieser Kampagne wurden auf Instagram, LinkedIn, Facebook und Twitter eine Reihe von gefälschten Profilen angelegt. Die Akteure gaben sich als Anwerber echter und vorgetäuschter Unternehmen aus, um Nutzer dazu zu bringen, auf Phishing-Links zu klicken, die als VPN-, Taschenrechner-, Hörbuch- und Messaging-Apps getarnte Malware zum Stehlen von Informationen lieferten.
„Sie entwickelten die Malware auf der Virtualisierungsplattform VMWare ThinApp, was es ihnen ermöglichte, sie auf vielen verschiedenen Systemen auszuführen und die bösartige Nutzlast bis zur letzten Minute zurückzuhalten, was die Erkennung von Malware erschwerte“, erklärte Meta.
Schließlich hat Meta auch die Übernahmeversuche der weißrussischen Ghostwriter-Gruppe gestört, die in die Facebook-Konten dutzender ukrainischer Militärangehöriger eingedrungen war.
Die Angriffe, die in einer „Handvoll Fälle“ erfolgreich waren, missbrauchten den Zugang zu den Social-Media-Konten der Opfer und posteten Desinformationen, „die die Armee zur Kapitulation aufforderten, als ob diese Posts von den rechtmäßigen Kontoinhabern kämen“.