Beobachtungen
Der IT-Sicherheitsdienstleister Recorded Future warnt vor einer andauernden Angriffskampagne der Cybergruppierung APT28. Die Angreifer haben es dabei auf Zugangsdaten und Anmeldeinformationen abgesehen. Die Gruppierung nimmt u.a. europäische Think Tanks ins Visier, deren Schwerpunkte auf der Forschung im Bereich der Energieerzeugung, der Zusammenarbeit im Verteidigungssektor und auf Regierungskommunikationsnetzwerken liegen.
Methoden
Um an die Zugangsdaten und Anmeldeinformationen ihrer Opfer zu gelangen, setzen die Angreifer gefälschte Login-Seiten diverser Webmail- und VPN-Dienste ein. Dazu zählen u.a. Microsoft Outlook Web Access (OWA), Google und Sophos-VPN-Seiten. Hat das Opfer seine Zugangsdaten auf der gefälschten Seite eingegeben, wird es anschließend auf die echte Seite weitergeleitet. Die Angreifer nutzen dabei freie Hosting- und Tunneling-Dienste als Dreh- und Angelpunkt, um ihre Angriffe vor- und nachzubereiten. Zu diesen Diensten zählen u.a. webhook[.]site, InfinityByte, Byet Internet Services und ngrok.
Attribution
APT28 wird dem russischen Militärnachrichtendienst GRU zugeordnet. Die Gruppierung ist seit mindestens 2004 aktiv und bekannt für ihre ausgeklügelten Angriffe gegen westliche Organisationen und Personen.
Empfehlungen
Recorded Future stellt einen ausführlichen Bericht sowie Indicators of Compromise (IOCs) zur Verfügung. Wir empfehlen daher allen Stellen, die ins Visier des Angreifers geraten sein könnten, zur Prüfung der eigenen Systeme auf Betroffenheit anhand der IOCs.