Tussen 15 en 25 december 2023 werden overheidsorganisaties getroffen door malafide e-mails met links naar ‘documenten’, resulterend in malware-infecties. Via een JavaScript-gebaseerde e-blog werden slachtoffers omgeleid naar valse documenten, waar PowerShell-opdrachten werden gebruikt om malware te laden, waaronder MASEPIE en OCEANMAP. APT28 gebruikte een reeks tools zoals OCEANMAP en MASEPIE voor datadiefstal, laterale beweging binnen netwerken en verdere compromittering van systemen.
De aanval vertoonde tactieken zoals bestandsdeobfuscation, verborgen vensters en systeeminformatie-verkenning, typisch voor APT28’s modus operandi. Detectieregels en aanbevelingen voor bedreigingsjacht omvatten het monitoren van PowerShell-activiteit, het opsporen van browsergegevensdiefstal en het identificeren van netwerkverkeer naar verdachte IP-adressen.
IP-adressen, domeinen en bestandslocaties die worden gebruikt door de aanvallers werden geïdentificeerd als onderdeel van de dreigingsinformatie. MASEPIE en OCEANMAP worden beschreven als kwaadaardige programma’s die ontworpen zijn voor bestandsupload en uitvoering van opdrachten, met controle via IMAP en TCP-protocollen.
Specifieke locaties op geïnfecteerde systemen waar malware- en backdoor-componenten zijn gedropt, zijn geïdentificeerd voor verdere opschoning en detectie. De aanvallers gebruikten SSH via poort 80 voor het instellen van tunnels met behulp van openbare sleutels voor externe toegang tot geïnfecteerde systemen. Detectieregels voor PowerShell-activiteit, base64-gecodeerde opdrachten en netwerkverkeer bieden mogelijkheden voor proactieve threathunting en verdediging tegen APT28-aanvallen.