De door de Russische GRU gesteunde dreigingsacteur APT28 Er wordt toegeschreven dat het achter een reeks campagnes zit die zich richten op netwerken in heel Europa met de HeadLace-malware en webpagina's voor het verzamelen van inloggegevens.
APT28, ook bekend onder de namen BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy en TA422, is een geavanceerde persistente dreigingsgroep (APT) die is aangesloten bij de Russische strategische militaire inlichtingeneenheid, de GRU.
De hackploeg opereert met een hoog niveau van stealth en verfijning, waarbij ze vaak hun aanpassingsvermogen demonstreren door middel van diepgaande paraatheid en aangepaste tools, en vertrouwen op legitieme internetdiensten (LIS) en levende buiten het land binaire bestanden (LOLBins) om hun activiteiten binnen de reguliere grenzen te verbergen. netwerk verkeer.
“Van april tot december 2023 heeft BlueDelta Headlace-malware in drie verschillende fasen ingezet met behulp van geofencing-technieken om netwerken in heel Europa te targeten, met een sterke focus op Oekraïne”, aldus de Insikt Group van Recorded Future.
“De spionageactiviteiten van BlueDelta weerspiegelen een bredere strategie gericht op het verzamelen van inlichtingen over entiteiten met militaire betekenis voor Rusland in de context van de voortdurende agressie tegen Oekraïne.”
HeadLace wordt, zoals eerder gedocumenteerd door het Computer Emergency Response Team van Oekraïne (CERT-UA), Zscaler, Proofpoint en IBM X-Force, verspreid via spear-phishing-e-mails met kwaadaardige links die, wanneer erop wordt geklikt, een meerfasige infectie initiëren volgorde om de malware te verwijderen.
BlueDelta zou tijdens de eerste fase een infrastructuurketen van zeven fasen hebben gebruikt om een kwaadaardig Windows BAT-script (dwz HeadLace) af te leveren dat in staat is vervolgshell-opdrachten te downloaden en uit te voeren, onderworpen aan sandbox- en geofencing-controles.
De tweede fase, die begon op 28 september 2023, is opmerkelijk vanwege het gebruik van GitHub als startpunt van de omleidingsinfrastructuur, terwijl de derde fase vanaf 17 oktober 2023 overschakelde op het gebruik van PHP-scripts die op InfinityFree worden gehost.
“De laatste gedetecteerde activiteit in fase drie was in december 2023”, aldus het bedrijf. “Sindsdien is BlueDelta waarschijnlijk gestopt met het gebruik van InfinityFree-hosting en gaf ze de voorkeur aan hosting-infrastructuur op webhook(.)site en mocky(.)io rechtstreeks.”
Er is ook vastgesteld dat BlueDelta inloggegevens verzamelt, bedoeld om zich te richten op diensten als Yahoo! en UKR(.)net door lookalike-pagina's weer te geven en uiteindelijk slachtoffers te misleiden om hun inloggegevens in te voeren.
Een andere techniek was het maken van speciale webpagina's op Mocky die communiceren met een Python-script dat op gecompromitteerde Ubiquiti-routers draait om de ingevoerde inloggegevens te exfiltreren. Eerder deze februari verstoorde een door de VS geleide wetshandhavingsoperatie een botnet bestaande uit Ubiquiti EdgeRouters dat voor dit doel door APT28 werd gebruikt.
Doelwitten van de credential harvesting-activiteit waren onder meer het Oekraïense Ministerie van Defensie, Oekraïense wapenimport- en exportbedrijven, de Europese spoorweginfrastructuur en een denktank gevestigd in Azerbeidzjan.
“Het succesvol infiltreren van netwerken die verband houden met het Oekraïense ministerie van Defensie en de Europese spoorwegsystemen zou BlueDelta in staat kunnen stellen informatie te verzamelen die mogelijk de tactieken op het slagveld en bredere militaire strategieën vormgeeft”, aldus Recorded Future.
“Bovendien suggereert de interesse van BlueDelta in het Azerbeidzjaanse Centrum voor Economische en Sociale Ontwikkeling een agenda om regionaal beleid te begrijpen en mogelijk te beïnvloeden.”
De ontwikkeling komt nadat is waargenomen dat een andere door de staat gesponsorde Russische dreigingsgroep genaamd Turla gebruik maakt van uitnodigingen voor mensenrechtenseminars als phishing-e-mails om een lading uit te voeren die vergelijkbaar is met de achterdeur van TinyTurla met behulp van de Microsoft Build Engine (MSBuild).