23.07.2025
1 хв
529
Національний центр кібербезпеки Великобританії (NCSC) повідомив про розгортання нової шкідливої програми під назвою AUTHENTIC ANTICS. За нею стоїть російське військове ГРУ, яке маскує кібератаки під легітимні дії Microsoft Outlook, викрадаючи доступ до хмарних акаунтів користувачів.
Новий зразок шкідливого ПЗ, пов’язаний із групою APT 28 (вона ж Fancy Bear, Forest Blizzard або Blue Delta), вражає Microsoft-сервіси через фішингові вікна входу в систему. Вони час від часу з’являються в середовищі Outlook і вкрай схожі на звичні логіни від Microsoft. Завдяки цьому користувачі нічого не підозрюють — і вводять справжні логіни та паролі.
Malware перехоплює не лише ці дані, а й OAuth-токени — тобто ключі доступу до таких сервісів, як OneDrive, SharePoint і Exchange Online. Для передачі вкраденого використовується підроблена розсилка з облікового запису жертви — і листи не зберігаються в папці “Надіслані”, що значно ускладнює виявлення атаки.
APT 28 — одне з найвідоміших підрозділів російської розвідки, пов’язане з численними атаками на урядові та інфраструктурні об’єкти по всьому світу. В цьому випадку розробники malware уважно працювали над маскуванням — щоб здаватися частиною звичного досвіду користувача Microsoft.
NCSC попереджає, що усі мережеві з’єднання проходять через легітимні Microsoft-сервери, що робить AUTHENTIC ANTICS практично непомітним для систем моніторингу.
Британські служби не лише викрили атаку, а й закликали до санкцій проти російських шпигунів. Вони підкреслили: вторгнення в особисте цифрове середовище громадян — це червона лінія. Ігнорування таких загроз лише відкриває шлях до подальших порушень. AUTHENTIC ANTICS — ще один доказ того, наскільки тонкою стала межа між користувацьким досвідом і шкідливим кодом.
