Специализированная угроза BlueDelta наращивает сложность шпионских кампаний в Европе

Кибергруппировка BlueDelta, деятельность которой эксперты связывают с APT28, продолжает развивать свою операционную инфраструктуру и тактики. По данным исследователей Insikt Group, за период с апреля по декабрь 2023 года злоумышленники провели три масштабные фазы атак с использованием вредоносного ПО Headlace, предназначенного для кражи информации. Активность направлена на организации в Европе, включая оборонный сектор, критическую транспортную инфраструктуру и аналитические центры.

Описание

Основным вектором атак остаётся фишинг. BlueDelta рассылает целевые письма, маскируя их под легитимную переписку. Вложения или ссылки в таких письмах ведут к вредоносным архивам. Внутри архивов находятся файлы-приманки, часто в формате изображений, и скрипты, например, BAT-файлы. При их выполнении запускаются команды для сбора системной информации, которая затем переправляется злоумышленникам.

Для усложнения обнаружения группа активно использует методику «живи за счёт земли» (Living off-the-Land Binaries, LOLBins), применяя встроенные в операционную систему Windows инструменты для вредоносных действий. Кроме того, BlueDelta размещает этапы своей атаки на легитимных интернет-сервисах (Legitimate Internet Services, LIS), таких как GitHub, Mockbin или Mocky. Это позволяет маскировать вредоносные скрипты и редиректы под обычный сетевой трафик, что значительно затрудняет работу систем обнаружения вторжений (IDS) и предотвращения вторжений (IPS).

Особую изощрённость демонстрируют фишинговые страницы группы, предназначенные для сбора учётных данных. Они способны обходить двухфакторную аутентификацию и CAPTCHA. Техника заключается в ретрансляции запросов между легитимным сервисом, например, почтовым, и скомпрометированным роутером Ubiquiti, который контролируется злоумышленниками. Таким образом, жертва вводит свои логин, пароль и даже одноразовый код на реальной странице, но эти данные перехватываются.

География и сектор целей указывают на стратегический интерес атакующих к сбору разведывательной информации. Среди подтверждённых целей - Министерство обороны Украины, украинские компании, занимающиеся импортом и экспортом вооружений, а также европейские предприятия железнодорожной инфраструктуры. Кроме того, под удар попал аналитический центр в Азербайджане, что свидетельствует о желании группировки отслеживать политические и экономические процессы в регионе.

Группа постоянно демонстрирует высокую адаптивность. Например, в одной из кампаний использовалось геоограничение: вредоносная полезная нагрузка (payload) доставлялась только компьютерам, расположенным в Австрии, Литве и Испании. Для отсеивания исследовательских песочниц (sandboxes) и систем с неподходящей операционной системой выстраивалась многоступенчатая инфраструктура с проверками. Непрошедшие проверки системы получали безвредный файл и перенаправлялись на легальный сайт.

Эксперты рекомендуют организациям из целевых секторов, таких как государственное управление, оборона, энергетика, транспорт и аналитические центры, усилить защиту. Ключевые меры включают повышение осведомлённости сотрудников о фишинге, в частности об особенностях писем BlueDelta, которые описаны в отчётах специалистов. Важно ограничить доступ к несущественным бесплатным веб-сервисам, которые могут быть использованы для атак. Для корпоративных почтовых служб, включая Yahoo и UKR.net, критически необходимо строгое применение двухфакторной аутентификации и активный мониторинг подозрительной активности.

Наблюдаемая динамика показывает, что BlueDelta не только сохраняет активность, но и методично совершенствует свои инструменты и методы. Следовательно, их кампании представляют собой устойчивую и развивающуюся угрозу, требующую от потенциальных целей комплексного подхода к безопасности, сочетающего технологические решения и обучение персонала. Постоянный обмен индикаторами компрометации и тактиками между компаниями и CERT-командами становится важнейшим элементом противодействия подобным продвинутым угрозам.