Szinte láthatatlan támadások
A támadás minden láncszeme úgy volt összerakva, hogy a végpontvédelmi rendszerek ne vegyék észre a fertőzést. Az új típusú, titkosított kártevők futás közben, memóriában dolgoztak, így a károkozást szinte lehetetlen volt nyomon követni. Az első fertőzéseket már korábban feltört kormányzati fiókokból indították, amelyekről a célba vett dolgozók könnyen elhitték, hogy megbízhatóak. A parancsokat és adatokat ismert felhőszolgáltatásokon keresztül továbbították, amelyek amúgy is engedélyezettek voltak az érzékeny hálózatokon.
Professzionális lebonyolítás, célzott támadások
A pontosan felépített támadási lánc – csaló e-mailektől a rejtett hátsó ajtókig – 2026. január 28-án indult, és 72 órán belül legalább 29 egyedi e-mailcsalit küldtek szét kilenc ország szervezeteinek, elsősorban Kelet-Európában. Az érintett országok között volt Lengyelország, Szlovénia, Törökország, Görögország, az Egyesült Arab Emírségek, Ukrajna, Románia és Bolívia. A támadások célpontjai 40%-ban védelmi minisztériumok, 35%-ban közlekedési/logisztikai cégek, 25%-ban pedig diplomáciai szervezetek voltak.
Új hátsó ajtók: BeardShell és NotDoor
A támadási lánc végén két új hátsó ajtó (BeardShell, NotDoor) került a rendszerekbe. A BeardShell teljes rálátást adott a támadóknak, tartósan megtelepedve a Windows egyik rendszerfolyamatában, bizonyítékok hátrahagyása nélkül. A NotDoor VBA-makróként jelent meg, amely Outlook-fiókokat figyelt, e-maileket becsomagolt, majd feltöltötte azokat a támadók által irányított felhőfiókokba. Az automatikus törlés gondoskodott arról, hogy a felhasználók ne vegyék észre az adatszivárgást.
Profik művelete
A célkeresztbe kerülő szervezetek, az alkalmazott többlépcsős, rejtett fertőzési technikák, a felhőszolgáltatások és e-mailrendszerek kihasználása mind arra utalnak, hogy egy jól finanszírozott, profi támadóról van szó. A Trellix összességében az APT28-hoz köti a műveletet, és kiadott egy részletes útmutatót is, hogy más szervezetek leellenőrizhessék, érintettek-e a támadásban.
