Oekraïense overheden en kritieke infrastructuur doelwit van Russische aanvallen
Oekraïne is doelwit van met zeer intensieve cyberaanvallen op kritieke infrastructuur en overheidsinstellingen. De agressieve campagnes worden voornamelijk uitgevoerd door Sednit en Gamaredon, twee aan Rusland gelinkte cyberactoren die ook regelmatig EU-landen aanvallen.
Dit blijkt uit het nieuwe APT-rapport van cyberbeveiliger ESET Research. Het bedrijf analyseerde de activiteiten van de aanvallers tussen oktober 2024 en maart van dit jaar. De beruchte Sandworm-groep Gamaredon was de meest actieve speler die zich op Oekraïne richtte, door malware beter te verdoezelen en door de introductie van PteroBox, malware die het uitwisselingsprogramma Dropbox misbruikt en zich richt op datadiefstal.
"De focus van de groep lag op het compromitteren van de Oekraïense energie-infrastructuur, waarbij de aanvallers het Active Directory-groepsbeleid van de getroffen organisaties misbruikten", aldus Jean-Ian Boutin, Director of Threat Research bij ESET.
Spearphishing
Cybercriminelen van Sednit richten zich op de exploitatie van zogeheten cross-site scripting-kwetsbaarheden in webmaildiensten. ESET ontdekte bijvoorbeeld dat de groep met succes een zeroday in de MDaemon Email Server had misbruikt tegen Oekraïense bedrijven. Bij verschillende Sednit-aanvallen op defensiebedrijven in Bulgarije en Oekraïne werden (sterk gepersonaliseerde) spearphishing-mailcampagnes als lokaas gebruikt.
RomCom, een derde aan Rusland gelinkte groep, slaagde er op zijn beurt in gevaarlijke zeroday-exploits te implementeren tegen de browser Mozilla Firefox en Microsofts Windows-besturingssysteem.
In samenwerking met Data News
