Russisch hackers worden verdacht van poging tot phishing-aanvallen op het Ministerie van Defensie van Letland. De Russische cyberspionagegroep Gamaredon gebruikte een domeinnaam (admou [.] org) die aan de bende was gekoppeld bij eerdere aanvallen om gevoelige informatie te stelen en toegang te krijgen tot de netwerken van Oekraïne en zijn bondgenoten.
Onderzoekers van het Franse bedrijf Sekoia legden uit dat hackers stuurden naar het ministerie van Defensie van Letland phishing-e-mails die zich voordoen als vertegenwoordigers van het Ministerie van Defensie van Oekraïne.
Een van de ontvangers besloot dat het bericht en de bijlagen er te verdacht uitzagen, omdat de gegevens ter verificatie naar de VirusTotal-service waren geüpload. De bijlage bij de brief bevatte kwaadaardige code die een reeks processen op gang bracht die zouden leiden tot de diefstal van informatie van het Ministerie van Defensie van Letland. Geassocieerd met FSB Gamaredon (ook bekend als Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa en Winterflounder) valt al minstens tien jaar organisaties buiten Rusland aan.
Zo probeerden Gamaredon-hackers vorig jaar de systemen van een olieraffinaderij in een van de NAVO-landen te hacken en vielen ze ook militaire en overheidsinstellingen in Oekraïne aan met geïnfecteerde Word-documenten. Het Letse Ministerie van Defensie meldde dat een poging tot phishing door Gamaredon niet succesvol was.
Het Letse Computer Security Team (CERT-LV) meldt dat sinds het begin van de oorlog in Oekraïne het aantal Cyber aanval in het land is met 30% toegenomen, waarbij de ernstigste bedreigingen afkomstig zijn van pro-Russische of door het Kremlin gesteunde hackers die zich richten op kritieke infrastructuur, bedrijven en de Letse regering.
We zullen u eraan herinneren dat we onlangs писали, dat het Nationaal Centrum cyberbeveiliging van Groot-Brittannië (NCSC) maakte melding van regelmatige cyberaanvallen op politici, journalisten en activisten, uitgevoerd door hackers uit Rusland en Iran. Volgens het deskundigenrapport gebruiken hackergroepen SEABORGIUM (ook bekend als Callisto Group/TA446/COLDRIVER/TAG-53) en TA453 (ook bekend als APT42/Charming Kitten/Yellow Garuda/ITG18) gerichte phishingtechnieken om instellingen en particulieren aan te vallen met als doel informatie verzamelen.
Ook interessant: