Hackargrupper med koppling till Ryssland använder legitima webbsajter för att sprida avancerad skadlig kod mot västliga företag och organisationer som samarbetar med eller bistår Ukraina, enligt en färsk analys på Arctic Wolfs webbplats. Företaget bedömer att en del av den ryska militära underrättelsetjänsten GRU sannolikt ligger bakom.
Angreppen beskrivs som en variant av den välkända metoden SocGholish, där besökare luras att installera falska webbläsaruppdateringar. I ett uppmärksammat fall klickade en anställd på en sådan uppmaning, vilket gav angripare omedelbar åtkomst. Kort därefter försökte de installera skadeprogram kopplat till gruppen RomCom – en kombination som inte tidigare observerats tillsammans med SocGholish, enligt Arctic Wolf.
RomComs kod aktiveras först när ett specifikt mål identifierats, vilket kan dölja snävt riktade intrång inom breda kampanjer. Enligt analysen gör detta hotet relevant för Norden, där många aktörer sedan 2022 bistår Ukraina.
Arctic Wolf kopplar även SocGholish till utpressningsattacker (ransomware). Gruppen TA569 uppges agera som mellanhand som säljer vidare åtkomst till komprometterade system, vilket kan bli startpunkten för större attacker.
Arctic Wolf rekommenderar bland annat att: endast tillåta uppdateringar via centrala, godkända kanaler; övervaka misstänkt aktivitet och avvikande nätverkstrafik; använda modernt skydd för slutpunkter; införa tydliga rutiner för uppdateringsmeddelanden; samt kontinuerligt utbilda användare.
– Den som upptäcker ett intrång av SocGholish bör agera som om man befinner sig i ett tidigt skede av en ransomware-attack – det vill säga snabbt. Genom att begränsa spridningen i ett tidigt skede kan man förhindra att det utvecklas till en fullbordad attack, säger Petter Glenstrup, Nordenchef på Arctic Wolf, i en analys på Arctic Wolfs webbplats.
Detta är en AI-genererad artikel.