طبق تحقیقات Trend Micro ، از ماه مه سال 2019 ، یک گروه تهدید جاسوسی سایبر بدنام تحت حمایت دولت روسیه به نام Pawn Storm (که به عنوان Fancy Bear یا APT28 نیز شناخته می شود) در حال اسکن سرورها برای استفاده مجدد از قبلی است. ایمیل های به خطر افتاده آدرس های ایمیل به خطر بیافتد برای انجام کارزارهای فیشینگ ، عمدتاً در شرکتهای دفاعی از خاورمیانه با هدف جاسوسی سایبر مورد هدف قرار می گیرند.
اگرچه شرکت های دفاعی در خاورمیانه اهداف اصلی بوده اند ، اما اپراتورهای آن به همان اندازه سایر اهداف را هدف قرار داده اند. عمودی از جمله حمل و نقل ، آب و برق و بخش های دولتی کشورهای مختلف مانند ایالات متحده ، اوکراین و ایران. محققان گفتند که APT28 به دلیل آسیب پذیری ها از طریق ایمیل و سرور مایکروسافت Exchange Autodiscover اسکن شده است ، که می تواند به زور به زور درآمده و برای لایه برداری داده ها و حملات فیشینگ استفاده شود. اپراتورها از پیکربندی OpenVPN ارائه دهندگان تجاری VPN برای پنهان کردن مسیرهای خود استفاده می کنند.
شرح مختصری از APT28
فعالیت های اولیه گروه تهدید را می توان به سال 2004 ردیابی کرد. APT28 به طور گسترده ای انجام شده است تا فعالیت های جاسوسی سایبر را انجام دهد. در برابر اشخاص برجسته اعم از نهادهای اقتصادی و سیاسی گرفته تا رسانه ها و سازمان های دولتی. از بدو تأسیس ، پیمانکاران نظامی ، سفارتخانه ها ، و پیمانکاران دفاعی از ایالات متحده و متحدان آن ، از جمله ارگان های جهانی مانند سازمان پیمان آتلانتیک شمالی (ناتو) را هدف قرار داده است.
وکتورهای حمله APT28
طبق تحقیقات اولیه انجام شده است. پیش از این ، گروه تهدید APT28 در ابتدا از سه بردار حمله استفاده می کند ، آنها عبارتند از:
- نامه های فیشینگ: اپراتورها از یک ایمیل فیشینگ نیزه مخرب برای رها کردن یک بدافزار چند مرحله ای استفاده می کنند که اطلاعات سیستم قربانی را بدست می آورد. این کمپین ها معمولاً با درنظر گرفتن موضوعات ژئوپلیتیکی یا رویدادها و کنفرانس های آینده در نظر گرفته می شوند تا به طور بالقوه ضریب ضربه را افزایش دهند.
- وب سایت فیشینگ: علاوه بر این ، بازیگران تهدید نیز چندین وب سایت فیشینگ ایجاد کرده اند و Outlook Web دسترسی جعلی (OWA ) صفحات با استفاده از URL های چاپی-squatted. وارد کردن اعتبار کاربر در چنین وب سایت های مخرب یا صفحات وب منجر به فیشینگ اعتبار می شود.
- Iframes مخرب: این وکتور سوم به صراحت مشاهده شد که به وب سایت های دولت لهستان تزریق می شود. برای اهداف انتخابی ، سوء استفاده های iframe مخرب به تاسیسات Sednit نیز منجر شد.
