Russisk e-postskadevare “AUTHENTIC ANTICS” kaprer Microsoft-kontoer

Storbritannias nasjonale cybersikkerhetssenter (NCSC) har kommet med en alvorlig advarsel om russisk e-postbasert skadevare som retter seg mot Microsofts skytjenester. Skadevaren, som nå har fått navnet AUTHENTIC ANTICS, gir angripere mulighet til å kapre brukerkontoer og stille eksfiltrere data.

Angrepet er koblet til APT28, en russisk militæretterretningsenhet knyttet til GRUs 85. hovedsenter for spesialtjenester – også kjent som Unit 26165, Fancy Bear, Forest Blizzard og Blue Delta.

Hva gjør skadevaren?

AUTHENTIC ANTICS gir vedvarende tilgang til Microsoft 365-kontoer ved å etterligne normal aktivitet. Når den er aktiv, kan den:

• Vise realistiske Microsoft-innloggingsvinduer
• Stjele innloggingsinformasjon og OAuth-tokens
• Få tilgang til tjenester som Exchange Online, SharePoint og OneDrive
• Sende stjålne data via e-post – uten å etterlate spor i «Sendt»-mappen

Forskere sier at skadevaren er nøye utformet for å smelte inn i Outlooks legitime prosesser. Den viser sjeldne og troverdige meldinger for å unngå mistanke.

«Skadevaren utnytter brukernes økende kjennskap til Microsofts autentiseringsvinduer på en smart måte,» uttalte NCSC.

Hvordan spres den?

Det er fortsatt uklart. Forskerne har ikke avslørt nøyaktig hvordan skadevaren distribueres, men bekrefter at den kjører i Outlook-prosessen og kun kommuniserer med legitime Microsoft-tjenester – noe som gjør den vanskelig å oppdage.

Denne skjulte aktiviteten sørger for at den unngår vanlige sikkerhetsalarmer.

Hvem står bak?

NCSC tilskriver skadevaren til APT28, en kjent russisk statlig støttet hackergruppe. Gruppen har en lang historie med cyberoperasjoner rettet mot regjeringer, tenketanker og forsvarssektorer verden over.

APT28 er beryktet for:

• Sofistikerte phishing-kampanjer
• Utnyttelse av zero-day-sårbarheter
• Bruk av stjålne påloggingsopplysninger for langvarig infiltrasjon

Storbritannia svarer med sanksjoner

Som svar på funnene kom Storbritannias utenriksminister David Lammy med en kraftig uttalelse:

«Kreml skal ikke være i tvil: Vi ser hva de prøver å gjøre i skyggene – og vi vil ikke tolerere det.»

Storbritannia har innført nye sanksjoner mot russiske spioner for å forhindre fremtidige angrep og holde gjerningspersonene ansvarlige.

Konklusjon

Fremveksten av russisk e-postskadevare som AUTHENTIC ANTICS viser at cyberspionasje blir stadig mer avansert. Ved å utnytte kjente Microsoft-innlogginger og etterligne legitim aktivitet, har APT28 nok en gang visket ut grensene mellom vanlig og ondsinnet oppførsel. Organisasjoner må være på vakt – og myndigheter må fortsette å avsløre trusler som gjemmer seg i det skjulte.