近期疑似APT28攻击组织发起了一轮窃密活动，其特点是利用mockbin API获取受害者的敏感信息。研究人员获取了一批活动样本，分析显示攻击者通过自定义的Nishang脚本窃取NTLM哈希值，受害者执行脚本后会请求属于攻击者的mockbin API并发送这些信息。

“Steal-It”是一种新的窃取活动，在此活动中，攻击者使用与合法红队工具关联的Start-CaptureServer PowerShell 脚本的自定义版本窃取和泄露 NTLMv2 哈希值，执行各种系统命令，并通过 Mockbin API 泄露检索到的数据。Nishang是一个框架以及 PowerShell 脚本和有效负载的集合，用于进攻性安全、渗透测试和红队。该活动的初始阶段涉及部署隐藏在 zip 存档中的 LNK 文件，同时通过战略性地利用 StartUp 文件夹来确保系统内的持久性。研究人员认为 Steal-It 活动可能归因于 APT28（又名 Fancy Bear），因为它与 CERT-UA 在“威胁行为者归因”部分中报告的 APT28 网络攻击相似。

乌克兰计算机紧急响应小组发现了针对乌克兰关键能源基础设施的一次有针对性的网络攻击，并将其归因于APT28组织。此次入侵始于一封网络钓鱼电子邮件，其中包含指向激活感染链的恶意ZIP存档的链接。访问该链接会将包含三个 JPG 诱饵图像和BAT文件 weblinks.cmd 的 ZIP 存档下载到受害者的计算机上。当 CMD 文件运行时，将打开多个诱饵网页，创建 .bat 和 .vbs 文件，并启动 VBS 文件，VBS 文件进而执行BAT文件。攻击的下一阶段包括在受感染的主机上运行 whoami 命令并窃取信息，同时下载 TOR 隐藏服务来路由恶意流量。持久性是通过计划任务实现的，远程命令执行是通过名为 webhook.site 的合法服务使用 cURL 实现的，该服务最近被披露为被称为 Dark Pink 的威胁行为者使用。CERT-UA 表示，由于对 Mocky 和 Windows Script Host ( wscript.exe ) 的访问受到限制，此次攻击最终没有成功。

乌克兰CERT-UA政府计算机应急响应小组发现了模仿邮件服务Web界面（特别是UKR.NET、Yahoo.com）的HTML文件。攻击者利用HTTP POST窃取受害者输入的身份验证数据，使用先前受到损害的 Ubiquiti 设备 (EdgeOS)传输被盗数据。其中一个 HTML 文件（“detail.html”）包含攻击对象的电子邮件地址：“iri_1357@yahoo.com”。根据现有数据，确定地址属于伊朗伊斯兰共和国驻地拉那（阿尔巴尼亚共和国）大使馆。乌克兰研究人员得出结论称，由俄罗斯联邦指挥活动的 APT28 组织于 2023 年 5 月对伊朗外交机构进行了有针对性的网络攻击。

在调查计算机用户邮箱内容的过程中，研究人员发现了一封主题为“乌克兰新闻”的电子邮件，该电子邮件于2023年5月12日从地址“ukraine_news@meta[.]ua”收到。其中包含来自出版物“NV”（nv.ua）的文章形式的诱饵内容，以及针对 Roundcube CVE-2020-35730 (XSS) 中的漏洞的利用以及旨在加载的相应 JavaScript 代码并运行其他 JavaScript 文件“q.js”和“e.js”。在提到的文件中，“e.js”提供了创建“默认过滤器”的功能，用于将传入的电子邮件重定向到第三方电子邮件地址，并且还使用 HTTP POST 请求执行渗透地址簿、会话值（Cookie）和受害者的电子邮件。“q.js”包含 Roundcube CVE-2021-44026 (SQLi) 中漏洞的利用，该漏洞用于从 Roundcube 数据库中窃取信息。此外，还发现了包含 CVE-2020-12641 漏洞利用并在邮件服务器上执行命令的“c.js”代码。

APT28组织已经破坏了属于多个乌克兰组织（包括政府实体）的Roundcube电子邮件服务器。在这些攻击中，APT28组织（也称为BlueDelta、Fancy Bear、Sednit和Sofacy）利用有关俄罗斯和乌克兰之间持续冲突的消息诱骗收件人打开恶意电子邮件，邮件会利用Roundcube Webmail漏洞侵入未打补丁的网络服务器。在破坏电子邮件服务器后，黑客部署了恶意脚本，将目标的传入电子邮件重定向到攻击者控制下的电子邮件地址。这些脚本还用于侦察和窃取受害者的Roundcube地址簿、会话cookie和存储在Roundcube数据库中的其他信息。

APT28组织利用Cisco IOS路由器上的漏洞，部署名为“Jaguar Tooth”的自定义恶意软件。Jaguar Tooth是一种非持久性恶意软件，主要针对运行固件C5350-ISM版本12.3(6)的Cisco IOS路由器，可以直接注入到运行较旧固件版本的Cisco路由器的内存中的恶意软件。安装后会从路由器中泄露信息，并提供对设备的未经身份验证的后门访问。据悉，该软件是利用已修复的SNMP漏洞（CVE-2017-6742）进行安装和执行的。

网络安全和基础设施安全局的研究人员最近发现，可疑的俄罗斯黑客潜伏在美国卫星网络中。虽然攻击的细节很少，但研究人员将此事件归咎于名为Fancy Bear的俄罗斯组织。Fancy Bear 似乎在受害者的网络中存在了几个月。

俄罗斯黑客开始使用一种新的代码执行技术，该技术依赖于Microsoft PowerPoint演示文稿中的鼠标移动来触发恶意PowerShell脚本，从而传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效载荷，从而进行更隐蔽的攻击。攻击者使用PowerPoint(.PPT)文件引诱目标，该文件据称与经济合作与发展组织(OECD)相关。PPT文件包含一个超链接，作为启动恶意PowerShell脚本的触发器。当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时，会激活恶意PowerShell脚本从Microsoft OneDrive帐户下载JPEG文件。

乌克兰 CERT-UA 计算机应急响应组织披露了一项网络钓鱼攻击活动。电子邮件名为“Кібератака”（在乌克兰语中意为网络攻击），伪装成来自 CERT-UA 的安全通知，并带有一个 RAR 存档文件“UkrScanner.rar”附件。当打开该文件时，会部署一个名为 CredoMap_v2 的恶意软件。CERT-UA将此活动归因于俄罗斯APT28组织。