APT28 از فریب های به روز رسانی ویندوز برای فریب اهداف اوکراینی استفاده می کند

گروه هکری APT28 مرتبط با روسیه، نهادهای دولتی اوکراین را هدف قرار دادند کمپین spear-phishing که از راهنماهای ساختگی "Windows Update" استفاده می کند.

در ماه آوریل، CERT-UA ایمیل‌های مخربی را مشاهده کرد که از طرف افرادی که به نظر می‌رسید مدیران سیستم در ارگان‌های دولتی هستند در Microsoft Outlook ارسال می‌شد – با خط موضوعی که عبارت «Windows Update» بود. این ایمیل‌ها به دنبال فریب گیرندگان برای «راه‌اندازی خط فرمان و اجرای فرمان PowerShell» بودند.

عملیات خارج از واحد نظامی 26165 اداره اطلاعات اصلی ستاد کل روسیه (GRU)، گروه APT28 از سال 2007 فعال شناخته شده است و عملیات‌های مختلفی را در سطح جهانی از جمله دولت‌ها، سازمان‌های امنیتی، ارتش‌ها و انتخابات ریاست‌جمهوری آمریکا در سال ۲۰۱۶ هدف قرار داده است.

دستور مذکور یک اسکریپت PowerShell را دانلود می‌کند که با شبیه‌سازی فرآیند به‌روزرسانی سیستم‌عامل، اسکریپت PowerShell زیر را که برای جمع‌آوری اطلاعات اولیه در مورد رایانه با استفاده از دستورات «tasklist»، «systeminfo» طراحی شده است، دانلود و اجرا می‌کند. نتایج را با استفاده از درخواست HTTP به API سرویس Mocky دریافت کرد هشدار CERT-UA اعلام شد.

در ادامه، CERT-UA توصیه می‌کند که سازمان‌هایی که محدودیت‌هایی برای PowerShell اعمال می‌کنند، از اتصالات شبکه به API سرویس Mocky استفاده و نظارت کنند. NCSC، NSA، CISA و FBI نیز مشاوره مشترکی را با اطلاعاتی در مورد تاکتیک ها، تکنیک ها و رویه ها (TTP) منتشر کردند. حملات APT28.