Rysk e-postskadlig kod ”AUTHENTIC ANTICS” kapar Microsoft-konton

Storbritanniens National Cyber Security Centre (NCSC) har utfärdat en allvarlig varning om rysk e-postskadlig kod som riktar sig mot Microsofts molntjänster. Skadlig koden, nu kallad AUTHENTIC ANTICS, gör det möjligt för angripare att kapa användarkonton och tyst exfiltrera data.

Attacken har kopplats till APT28, en enhet inom rysk militär underrättelsetjänst som tillhör GRU:s 85:e huvudcenter för specialtjänster—även känt som Enhet 26165, Fancy Bear, Forest Blizzard och Blue Delta.

Vad gör skadlig koden?

AUTHENTIC ANTICS möjliggör ihållande åtkomst till Microsoft 365-konton genom att efterlikna normal aktivitet. När den är aktiv:

• Visar den realistiska Microsoft-inloggningsfönster
• Stjäl inloggningsuppgifter och OAuth-tokens
• Får åtkomst till tjänster som Exchange Online, SharePoint och OneDrive
• Skickar stulen data via e-post—utan att lämna spår i mappen ”Skickat”

Forskare säger att skadlig koden är noggrant utformad för att smälta in i Outlooks legitima processer. Den genererar sällsynta, övertygande uppmaningar för att undvika misstankar.

”Den skadliga koden utnyttjar på ett smart sätt vår ökande vana vid Microsofts autentiseringsfönster,” enligt NCSC.

Hur levereras den?

Det är fortfarande oklart. Forskare har inte avslöjat exakt hur skadlig koden distribueras, men bekräftar att den körs inom Outlook-processen och endast kommunicerar med Microsofts legitima tjänster—vilket gör den mycket svår att upptäcka.

Detta smygande beteende säkerställer att traditionella säkerhetslarm inte aktiveras.

Vem ligger bakom?

NCSC tillskriver attacken APT28, en känd rysk statsstödd hackergrupp. Gruppen har länge bedrivit cyberoperationer mot regeringar, tankesmedjor och försvarssektorer världen över.

APT28 är ökänd för:

• Sofistikerade nätfiskeattacker
• Utnyttjande av zero-day-sårbarheter
• Användning av stulna inloggningsuppgifter för långvarig infiltration

Storbritanniens svar: Sanktioner

Som svar på upptäckten av AUTHENTIC ANTICS utfärdade Storbritanniens utrikesminister David Lammy ett tydligt uttalande:

”Kreml ska inte tvivla: vi ser vad de försöker göra i skuggorna och vi kommer inte att tolerera det.”

Storbritannien har infört nya sanktioner mot ryska spioner för att störa framtida attacker och hålla de ansvariga till svars.

Slutsats

Framväxten av rysk e-postskadlig kod som AUTHENTIC ANTICS visar att cyber­spionage blir allt mer sofistikerat. Genom att utnyttja vanan vid Microsofts inloggningsbeteende och imitera legitima processer har APT28 återigen suddat ut gränsen mellan normalt och illasinnat. Organisationer måste förbli vaksamma—och regeringar måste fortsätta avslöja hot som gömmer sig i det öppna.