Oekraïne heeft te maken met zeer intensieve cyberaanvallen op kritieke infrastructuur en overheidsinstellingen. De agressieve campagnes worden voornamelijk uitgevoerd door Sednit en Gamaredon, twee aan Rusland gelinkte cyberactoren die ook regelmatig EU-landen viseren. Dit blijkt uit het nieuwe APT-rapport van cyberbeveiliger ESET Research.
ESET Research analyseerde de activiteiten van de aanvallers tussen oktober 2024 en maart van dit jaar. De beruchte Sandworm-groep Gamaredon was de meest actieve speler die zich op Oekraïne richtte, door malware beter te verdoezelen en door de introductie van PteroBox, een bestandsdief die het uitwisselingsprogramma Dropbox misbruikt. ‘De focus van de groep lag op het compromitteren van de Oekraïense energie-infrastructuur, waarbij de aanvallers het Active Directory-groepsbeleid van de getroffen organisaties misbruikten’, aldus Jean-Ian Boutin, Director of Threat Research bij ESET.
Lokaas
Cybercriminelen van Sednit verfijnden dan weer de exploitatie van zogeheten cross-site scripting-kwetsbaarheden in webmaildiensten. ESET ontdekte bijvoorbeeld dat de groep met succes een zeroday in de MDaemon Email Server had misbruikt tegen Oekraïense bedrijven. Bij verschillende Sednit-aanvallen op defensiebedrijven in Bulgarije en Oekraïne werden (sterk gepersonaliseerde) spearphishing-mailcampagnes als lokaas gebruikt.
RomCom, een derde aan Rusland gelinkte groep, slaagde er op zijn beurt in gevaarlijke zeroday-exploits te implementeren tegen de browser Mozilla Firefox en Microsofts Windows-besturingssysteem.