UKR.NET elleni BlueDelta tevékenység
2024 június és 2025 április között a Recorded Future Insikt Group egy tartós hitelesítő adatok gyűjtésére irányuló kampányt követett, amely egy széles körben használt ukrán webmail és hírszolgáltatás, az UKR.NET felhasználóit célozta meg. A tevékenységet az orosz állam által támogatott BlueDelta fenyegetési csoportnak (más néven APT28, Fancy Bear és Forest Blizzard) tulajdonítják. Ez a kampány a BlueDelta korábbi műveleteire épül, amelyeket az Insikt Group 2024 májusban kiadott jelentése részletezett, amely dokumentálta a GRU-hoz kapcsolódó rosszindulatú kibertevékenységeket, mint hitelesítő adatok ellopását és kémkedési tevékenységet. A BlueDelta korábbi tevékenysége alapján arra lehet következtetni, hogy az új jelentésben részletezett kampányban a csoport valószínűleg érzékeny információkat kíván gyűjteni az ukrán felhasználóktól a GRU szélesebb körű hírszerzési igényeinek kielégítése érdekében.
Az Insikt Group megfigyelte, hogy a BlueDelta több, UKR.NET bejelentkezési portál témájú hitelesítő adatok gyűjtésére szolgáló oldalt hozott létre. A csoport ingyenes webes szolgáltatásokat, többek között a Mocky-t, a DNS EXIT-et, majd később olyan proxy tunneling platformokat használt a kampányban, mint az ngrok és a Serveo, annak érdekében, hogy felhasználóneveket, jelszavakat és kétfaktoros hitelesítési kódokat gyűjtsön. A BlueDelta olyan PDF csalikat terjesztett, amelyek beágyazott linkeket tartalmaztak ezekre a hitelesítő adatok gyűjtésére szolgáló oldalakra, valószínűleg azért, hogy megkerülje az automatizált e-mail-ellenőrzést és a sandbox detekciót.
A jelentésben szereplő eszközök, infrastruktúrák és egyedi JavaScript-kódok összhangban vannak a BlueDelta bevált módszereivel, amelyek használatát más orosz kiberszereplőknél nem azonosították a kutatók.
A jelentés szerint az ngrok használata jelentős változás a BlueDelta eddigi infrastruktúrájában, mivel a fenyegetési csoport korábban kompromittált Ubiquiti routereket használt Python szkriptek hosztolására, amelyek hitelesítő adatokat rögzítettek és 2FA- és CAPTCHA-feladatokat kezeltek. Ez a változás valószínűleg válasz a Szövetségi Nyomozó Iroda (FBI), a Nemzetbiztonsági Ügynökség (NSA), az amerikai kiberparancsnokság és nemzetközi partnerek 2024 eleji BlueDelta elleni fellépésének.
