Seit März 2023 beobachtet das Forschungsteam von Proofpoint regelmäßige Phishing-Aktivitäten der russischen Cybergruppierung APT28. Diese Gruppe, die mit dem russischen Geheimdienst GRU in Verbindung gebracht wird, hat gepatchte Schwachstellen ausgenutzt, um groß angelegte Cyberangriffe gegen Ziele in Europa und Nordamerika durchzuführen. Zu den Schwachstellen gehören eine Microsoft Outlook-Sicherheitslücke (CVE-2023-23397) und eine WinRAR-Remote-Execution-Schwachstelle (CVE-2023-38831). APT28 zielte dabei auf Regierungs-, Luft- und Raumfahrt-, Bildungs-, Finanz-, Fertigungs- und Technologiesektoren ab.
In der Angriffskampagne wurden E-Mails mit gefälschten Dateierweiterungen verwendet, die als CSV-, Excel- oder Word-Dokumente getarnt waren und einen UNC-Pfad enthielten, der den Datenverkehr zu einem SMB-Listener umleitete, der wahrscheinlich auf einem kompromittierten Ubiquiti-Router gehostet wurde. Diese Router dienten als Listener für die NTLM-Authentifizierung.
APT28 setzte auch Mockbin für URL-Umleitungen und Phishing-Kampagnen ein, die Windows-Updates vortäuschten. Diese Kampagnen beinhalteten das Herunterladen von ZIP-Dateien mit legitimen Installationsprogrammen und .cmd-Dateien.
Wir vermuten, dass APT28 höchstwahrscheinlich auch weiterhin diese Schwachstellen ausnutzen wird. Proofpoint stellt im genannten
Report Sicherheits- und Handlungsempfehlungen zur Verfügung. Wir empfehlen daher anfällige WinRAR und Outlook-Versionen zu
patchen und die eigenen Systeme auf die im Bericht genannten IoCs zu überprüfen.