Τρεις ουκρανικές υπηρεσίες κυβερνοασφάλειας (Ουκρανική Μυστική Υπηρεσία, Ουκρανική Κυβερνητική Αστυνομία και CERT Ουκρανίας), εξέδωσαν την προηγούμενη εβδομάδα προειδοποίηση για μια «μαζική» εκστρατεία spear-phishing που διεξήχθη από ρωσικούς χάκερς εναντίον της κυβέρνησης και ιδιωτικών οργανισμών της χώρας. Αυτή είναι η τρίτη μαζική εκστρατεία spear-phishing που απέδωσε φέτος η κυβέρνηση της Ουκρανίας σε χάκερς που συνδέονται με τη Ρωσία.
Τα phishing μηνύματα που στάλθηκαν στα πλαίσια της εν λόγω εκστρατείας, υποτίθεται ότι προέρχονταν από την Αστυνομία Περιπολίας του Κιέβου και προειδοποιούσαν τους παραλήπτες για προβλήματα σχετικά με την καταβολή τοπικών φόρων.
Διαβάστε επίσης: Phishing emails στοχεύουν υπάλληλους με δόλωμα την επιστροφή στα γραφεία
Συγκεκριμένα, η προειδοποίηση που δημοσιεύτηκε από την Ουκρανική Μυστική Υπηρεσία αναφέρει τα ακόλουθα: «Οι ειδικοί της Υπηρεσίας Ασφαλείας της Ουκρανίας διαπίστωσαν ότι στις αρχές Ιουνίου του τρέχοντος έτους, στάλθηκαν μαζικά emails με διαφορετική διεύθυνση αποστολέα. Ειδικότερα, τα μηνύματα που φαίνονταν να προέρχονται από την Αστυνομία Περιπολίας του Κιέβου, περιείχαν κακόβουλα συνημμένα και στάλθηκαν στις διευθύνσεις ορισμένων κυβερνητικών υπηρεσιών.»
Σύμφωνα με την CERT, οι κακόβουλοι παράγοντες στέλνουν μηνύματα για λογαριασμό κυβερνητικών υπηρεσιών που χρησιμοποιούν την ακόλουθη δήλωση στο θέμα τους: «Δεν πληρώσατε φόρους. Πληροφορίες στο αρχείο… »,« έχει υποβληθεί ποινική υπόθεση εναντίον σας. Πληροφορίες στην εφαρμογή… ».
Επιπλέον, τα μηνύματα έχουν συνημμένο ένα αρχείο RAR και παραπλανούν τα θύματα να το ανοίξουν. Κατά τη λήψη και το άνοιγμα του αρχείου, ένα αρχείο EXE με διπλή επέκταση, filename.pdf.exe, «πέφτει» στο σύστημα.
Δείτε ακόμη: ΗΠΑ: Κατασχέθηκαν domains που χρησιμοποίησε η APT29 σε πρόσφατη phishing εκστρατεία
Όταν ο παραλήπτης ανοίγει τα αρχεία, εγκαθιστά μια τροποποιημένη έκδοση του RemoteUtilities, ενός software απομακρυσμένης διαχείρισης. Το software συνδέεται με C2 servers που βρίσκονται στη Ρωσία, τη Γερμανία και την Ολλανδία.
Η Ουκρανική Υπηρεσία Ασφαλείας κοινοποίησε δείκτες συμβιβασμού για αυτήν την επίθεση στην πλατφόρμα «MISP-UA».
Η CERT συνιστά τα εξής:
- Μην κατεβάζετε κρυπτογραφημένα αρχεία ή password αρχεία από το Διαδίκτυο. Είναι καλύτερο να αποκλείσετε συνολικά τη λήψη τέτοιων αρχείων μέσω email.
- Προτού ανοίξετε συνημμένα σε email ή μηνύματα, δώστε προσοχή στις λεπτομέρειες. Είναι καλύτερο να αποφύγετε τη λήψη συνημμένων email από αποστολείς, για το ποιόν των οποίων δεν είστε σίγουροι. Θα πρέπει επίσης να σας κινήσει τις υποψίες εάν ο author έχει αλλάξει τη γλώσσα επικοινωνίας για άγνωστους λόγους, αν το θέμα της επιστολής δεν είναι τυπικό για τον author, καθώς και αν τα μηνύματα περιέχουν ύποπτους συνδέσμους ή ανοίγουν ύποπτα αρχεία.
- Περιορίστε τη δυνατότητα εκτέλεσης εκτελέσιμων αρχείων.
- Να ελέγχετε περιοδικά το σύστημα με antivirus και να ενημερώνετε signature databases.
- Να χρησιμοποιείτε λειτουργικά συστήματα με άδεια χρήσης και άλλο software που ενημερώνεται περιοδικά.
- Να δημιουργείτε τακτικά αντίγραφα ασφαλείας σημαντικών αρχείων.
- Να ενημερώνετε τα passwords για πρόσβαση σε σημαντικά συστήματα όσο το δυνατόν συχνότερα και να χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων (2FA).
Τον Φεβρουάριο, η κυβέρνηση της Ουκρανίας κατηγόρησε μια APT hacking ομάδα που συνδέεται με τη Ρωσία για επίθεση σε ένα κυβερνητικό σύστημα διαχείρισης εγγράφων, το Σύστημα Ηλεκτρονικής Αλληλεπίδρασης Εκτελεστικών Φορέων (SEI EB).
Σύμφωνα με αξιωματούχους της Ουκρανίας, οι χάκερς είχαν ως στόχο τη διανομή κακόβουλων εγγράφων σε κυβερνητικές υπηρεσίες.
Πρόταση: FBI-CISA: Ρώσοι χάκερς παραβίασαν κυβερνητικά δίκτυα των ΗΠΑ κι έκλεψαν data
Το SEI EB χρησιμοποιείται από τις κυβερνητικές υπηρεσίες της Ουκρανίας για κοινή χρήση εγγράφων.
Σύμφωνα με το Εθνικό Συμβούλιο Ασφαλείας και Άμυνας της Ουκρανίας, οι επιτιθέμενοι ενήργησαν για τη «μαζική μόλυνση των πληροφοριών των δημόσιων αρχών».
Την ίδια περίοδο, η Ουκρανία κατηγόρησε ανώνυμα ρωσικά δίκτυα Ίντερνετ για μαζικές επιθέσεις που είχαν ως στόχο ουκρανικά sites ασφάλειας και άμυνας. Οι Ουκρανοί αξιωματούχοι δεν παρείχαν λεπτομέρειες σχετικά με τις επιθέσεις και τη ζημιά που προκάλεσαν αυτές.
Πηγή πληροφοριών: securityaffairs.co
