Last week, #Gamaredon 🇷🇺 intrusion set likely impersonated the 🇺🇦 MoD to target the 🇱🇻 MoD by using #spearphishing with the following infection chain: HTMLSmuggling -> ZIP -> LNK -> HTA. They used the already flagged #Gamaredon domain name admou[.]org to send their email. pic.twitter.com/SGQVGPtNJd— SEKOIA.IO (@sekoia_io) January 23, 2023

Łotewskie Ministerstwo Obrony poinformowało o potencjalnym ataku phishingowym rosyjskiej grupy cyberszpiegowskiej Gamaredon. Atak polegał na wysyłaniu złośliwych wiadomości e-mail do kilku pracowników, udając, że pochodzą od ukraińskich urzędników państwowych. Francuska firma zajmująca się cyberbezpieczeństwem Sekoia.io była w stanie przeanalizować szkodliwą wiadomość e-mail z VirusTotal i powiązała ją z Gamaredonem w oparciu o użycie tej samej nazwy domeny (admou[.]org), która była używana w poprzednich cyberatakach. Łotewskie Ministerstwo Obrony potwierdziło, że atak jest „najprawdopodobniej” powiązany z Gamaredonem, chociaż dochodzenie wciąż trwa.

Cyberataki prorosyjskich hakerów, w tym Gamaredona, nasiliły się na łotewskie organizacje, zwłaszcza od początku wojny na Ukrainie. Łotwa zapewniła Ukrainie wsparcie, w tym broń, pomoc humanitarną i schronienie dla ukraińskich uchodźców, a byli członkowie Związku Radzieckiego, w tym Estonia i Litwa, również odnotowali wzrost cyberataków. Ukraińscy urzędnicy opisali ataki Gamaredona jako natrętne i zuchwałe, a głównym celem grupy jest prowadzenie ukierunkowanych operacji cyberwywiadowczych.

Gamaredon jest również odpowiedzialny za dużą liczbę cyberataków na Ukrainę – w 2022 roku odnotowano ich ponad 70. Grupa ma działać z Sewastopola na okupowanym przez Rosję Krymie na zlecenie Centrum Bezpieczeństwa Informacyjnego FSB w Moskwie. Grupa rozpoczęła działalność w czerwcu 2013 r., zaledwie kilka miesięcy przed aneksją Krymu przez Rosję.

źródło: https://therecord.media/latvia-confirms-phishing-attack-on-ministry-of-defense-linking-it-to-russian-hacking-group/?web_view=true