Bitdefender Labs оприлюднив попередження щодо кібер-акціонерної кампанії, спрямованої на організації в Центральній Азії та Європі.
Група, ідентифікована як UAC-0063, використовує складні стратегії для доступу до цілей високої цінності, включаючи урядові та дипломатичні структури, розширюючи свою діяльність в Європу.
Геополітичний контекст у Центральній Азії змінився з моменту початку конфлікту в Україні, що впливає на відносини в регіоні з Росією та Китаєм. Раніше домінуючий вплив Росії зменшився, ставивши сумніви на ролі регіонального гаранта безпеки. Як повідомляється, деякі країни Центральної Азії неприємно ставляться до поваги Росії до їх суверенітету через її дії в Україні.
І навпаки, Китай збільшує свій вплив у Центральній Азії, особливо завдяки економічним заняттям, підкреслює інфраструктуру та торгівлю за допомогою ініціативи поясу та дорожнього руху (BRI), на відміну від історичної опори Росії на військові альянси. Хоча обидві країни поділяють інтереси у боротьбі з екстремізмом, їхні стосунки в Центральній Азії сприяють конкуренції та обмеженою співпрацею, посилюються через відсутність сильної присутності США в регіоні.
Складності геополітичного ландшафту створили можливості для кібересіонства, при цьому UAC-0063 скористався інфільтром урядовими установами та вилученням конфіденційних даних. Bitdefender Labs та CERT-UA розробили більш глибоке розуміння тактики актора цієї загрози, документуючи їх розширення на націлювання на посольства в країнах, включаючи Німеччину, Великобританію, Нідерланди, Румунію та Джорджію.
UAC-0063 був визначений як потенційно пов'язаний з російською групою APT28, хоча і з помірною впевненістю через обмежені конкретні технічні докази. “За помірною оцінкою довіри з боку ua-0063, що UAC-0063 пов'язаний з російською групою кібер-акумуляції APT28 (Bluedelta). Однак конкретна основа для цієї оцінки залишається незрозумілою”,-зазначає лабораторії Bitdefender, визнаючи, що перекриваються інтереси, але, але, але, але, але, але, але, але, але, але інтереси, але, але, але, але, але, але, але, але, але, але, але, але, але, але, але, але інтереси, але, але, але, але, але, але, але, але, але, але, але, але, однак не підтверджено атрибуцію.
Початкові точки доступу для UAC-0063 включають використання раніше компрометованих спільних документів, зокрема файлів Microsoft Word, в які вони вбудовують зловмисне програмне забезпечення Hatvibe. “Це є прикладом загальної, але часто недооціненої форми ланцюга поставок”, – зазначила лабораторії Bitdefender. Ці документи походять з таких сайтів, як посольства Казаха, при цьому група використовує соціальну інженерію для спонукання користувачів зловмисних макросів.
Група використовує такі інструменти, як Pyplunderplug та DownExpyer для крадіжки даних та активно підтримує інфраструктуру, пропонуючи поточні операції.
Bitdefender підкреслює доставку шкідливих корисних навантажень за допомогою документів, завантажених з Казахстану в рамках більш широкої кампанії, тривала в європейські країни.
Bitdefender підкреслює значення багатошарової оборонної системи для протидії таким складним загрозам. “Профілактика, захист, виявлення та відповідь мають вирішальне значення для пом'якшення ризиків у складних зловмисників, таких як UAC-0063”,-закликав лабораторії Bitdefender, підкреслюючи важливість інтелекту загрози та пильних операцій з безпеки для виявлення та реагування на потенційні компроміси.
Оперативна витонченість UAC-0063, а також їх постійне націлення на урядових утворень насамперед у стратегічних регіонах, підкреслює здатність групи в зборі розвідки, узгоджуючись з можливими російськими стратегічними інтересами, але конкретна атрибуція залишається невирішеною.