Storbritanniens National Cyber Security Centre (NCSC) har udsendt en alvorlig advarsel om russisk e-mail malware, der angriber Microsofts cloud-tjenester. Malware, der nu går under navnet AUTHENTIC ANTICS, giver trusselsaktører mulighed for at overtage brugerkonti og stille udtrække data.
Angrebet forbindes med APT28, en russisk militær efterretningsenhed knyttet til GRU’s 85. hovedspecialtjeneste – også kendt som Enhed 26165, Fancy Bear, Forest Blizzard og Blue Delta.
Hvad gør malware?
AUTHENTIC ANTICS sikrer vedvarende adgang til Microsoft 365-konti ved at efterligne normal aktivitet. Når den er aktiv:
- Viser realistiske Microsoft-loginvinduer til brugerne
- Stjæler legitimationsoplysninger og OAuth-tokens
- Får adgang til tjenester som Exchange Online, SharePoint og OneDrive
- Sender stjålne data via e-mail uden at efterlade spor i mappen “Sendt”
Forskere siger, at malware er omhyggeligt designet til at blende ind i Outlooks legitime processer. Den genererer sjældne, men overbevisende prompts for at undgå mistanke.
“Malwaren udnytter snedigt en stigende fortrolighed med Microsofts autentificeringsprompt,” sagde NCSC.
Hvordan leveres den?
Det er stadig uklart. Forskere har ikke afsløret den præcise leveringsmetode, men bekræfter, at malware kører inden for Outlook-processen og kun kommunikerer med legitime Microsoft-tjenester – hvilket gør det meget sværere at opdage.
Denne snigende adfærd sikrer, at den undgår at udløse traditionelle sikkerhedsalarmer.
Hvem står bag?
NCSC tilskriver malware til APT28, en kendt russisk statsstøttet gruppe. Gruppen har en lang historie med cyberoperationer mod regeringer, tænketanke og forsvarssektorer verden over.
APT28 er berygtet for:
- Sofistikerede phishing-kampagner
- Udnyttelse af zero-day-sårbarheder
- Brug af stjålne legitimationsoplysninger til langvarig infiltration
Storbritanniens reaktion med sanktioner
Som svar på malware-opdagelsen udtalte Storbritanniens udenrigsminister David Lammy:
“Kreml skal være i ingen tvivl: Vi ser, hvad de prøver at gøre i skyggerne, og vi vil ikke tolerere det.”
Storbritannien har indført nye sanktioner mod russiske spioner for at forstyrre fremtidige angreb og holde ansvarlige til regnskab.
Konklusion
Fremkomsten af russisk e-mail malware som AUTHENTIC ANTICS viser, at cyber-spionage bliver mere sofistikeret. Ved at udnytte Microsoft-login-adfærd og efterligne legitim aktivitet har APT28 endnu en gang udvisket grænsen mellem normalt og ondsindet. Organisationer må være på vagt – og regeringer må fortsætte med at afsløre trusler, der skjuler sig i fuld offentlighed.
0 svar til “Russisk e-mail malware “AUTHENTIC ANTICS” kaprer Microsoft-konti”