Tác nhân đe dọa APT28 do GRU hậu thuẫn của Nga đã được cho là đứng sau một loạt các chiến dịch nhắm mục tiêu vào các mạng trên khắp châu Âu với phần mềm độc hại HeadLace và các trang web thu thập thông tin xác thực.
APT28, còn được biết đến với tên BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy và TA422, là một nhóm mối đe dọa dai dẳng tiên tiến (APT) liên kết với đơn vị tình báo quân sự chiến lược của Nga, GRU.
Nhóm hacker hoạt động với mức độ tàng hình và tinh vi cao, thường thể hiện khả năng thích ứng của họ thông qua sự chuẩn bị sâu sắc và công cụ tùy chỉnh, và dựa vào các dịch vụ internet hợp pháp (LIS) và các tệp nhị phân sống ngoài đất liền (LOLBins) để che giấu hoạt động của họ trong lưu lượng mạng thông thường.
HeadLace, như đã được ghi nhận trước đây bởi Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA), Zscaler, Proofpoint và IBM X-Force, được phân phối thông qua các email lừa đảo có chứa các liên kết độc hại, khi được nhấp vào, sẽ bắt đầu một chuỗi lây nhiễm nhiều giai đoạn để loại bỏ phần mềm độc hại.
BlueDelta được cho là đã sử dụng chuỗi cơ sở hạ tầng bảy giai đoạn trong giai đoạn đầu tiên để cung cấp tập lệnh Windows BAT độc hại (tức là HeadLace) có khả năng tải xuống và chạy các lệnh shell tiếp theo, tùy thuộc vào kiểm tra sandbox và geofencing.
Giai đoạn thứ hai, bắt đầu vào ngày 28 tháng 9 năm 2023, đáng chú ý là sử dụng GitHub làm điểm khởi đầu của cơ sở hạ tầng chuyển hướng, trong khi giai đoạn thứ ba chuyển sang sử dụng các tập lệnh PHP được lưu trữ trên InfinityFree bắt đầu từ ngày 17 tháng 10 năm 2023.
BlueDelta cũng đã được tìm thấy để thực hiện các hoạt động thu thập thông tin xác thực được thiết kế để nhắm mục tiêu các dịch vụ như Yahoo! và UKR [.] net bằng cách phục vụ các trang trông giống nhau và cuối cùng lừa nạn nhân nhập thông tin đăng nhập của họ.
Một kỹ thuật khác liên quan đến việc tạo các trang web chuyên dụng trên Mocky tương tác với tập lệnh Python chạy trên các bộ định tuyến Ubiquiti bị xâm nhập để trích xuất các thông tin đăng nhập đã nhập. Đầu tháng 2 này, một hoạt động thực thi pháp luật do Mỹ dẫn đầu đã phá vỡ một mạng botnet bao gồm Ubiquiti EdgeRouters được APT28 đưa vào sử dụng cho mục đích này.
Các mục tiêu của hoạt động thu thập thông tin bao gồm Bộ Quốc phòng Ukraine, các công ty xuất nhập khẩu vũ khí Ukraine, cơ sở hạ tầng đường sắt châu Âu và một tổ chức tư vấn có trụ sở tại Azerbaijan.
Sự phát triển này diễn ra khi một nhóm đe dọa khác của Nga được nhà nước bảo trợ có tên là Turla đã được quan sát thấy tận dụng lời mời hội thảo nhân quyền làm mồi nhử email lừa đảo để thực hiện một tải trọng tương tự như backdoor TinyTurla bằng cách sử dụng Microsoft Build Engine (MSBuild).