Hacker statali russi sono stati collegati a un nuovo set di attacchi di raccolta di credenziali che prendono di mira individui associati a un’agenzia di energia e ricerca nucleare turca, nonché personale affiliato a un think tank europeo e organizzazioni in Macedonia del Nord e Uzbekistan. L’attività è stata attribuita ad APT28 (noto anche come BlueDelta), che è stato legato a una campagna di raccolta di credenziali sostenuta contro gli utenti di UKR[.]net lo scorso mese.
Dettagli dell’attacco
L’uso della lingua turca e mirato a livello regionale suggerisce che BlueDelta abbia personalizzato il proprio contenuto per aumentare la credibilità tra specifici pubblici professionali e geografici. Le selezioni riflettono un interesse continuo per le organizzazioni connesse alla ricerca energetica, alla cooperazione difensiva e alle reti di comunicazione governativa rilevanti per le priorità dell’intelligence russa. Gli attacchi hanno utilizzato pagine di accesso false che imitavano servizi popolari come Microsoft Outlook Web Access (OWA), Google e portali VPN Sophos.
Metodologia dell’attacco
La metodologia di attacco si basa con un’e-mail di phishing che contiene un link abbreviato che, quando cliccato, reindirizza le vittime a un altro link ospitato su webhook[.]site, che visualizza brevemente il documento di esca per circa due secondi prima di reindirizzare a una seconda pagina di accesso OWA di Microsoft.
