Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) εντόπισε νέες απόπειρες phishing που αποδίδονται στη ρωσική ομάδα απειλών που παρακολουθείται ως Armageddon (Gamaredon).
Δείτε επίσης: Η Γερμανία έκλεισε την πασίγνωστη παράνομη dark web αγορά Hydra
Τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου προσπαθούν να ξεγελάσουν τους παραλήπτες με δέλεαρ με θέμα μετά τον πόλεμο στην Ουκρανία και να μολύνουν τα συστήματα-στόχους με κακόβουλο λογισμικό εστιασμένο στην κατασκοπεία.
Το CERT-UA εντόπισε δύο ξεχωριστές περιπτώσεις, η μία στοχεύει ουκρανικούς οργανισμούς και η άλλη επικεντρώνεται σε κυβερνητικούς φορείς στην Ευρωπαϊκή Ένωση.
Η Armageddon είναι ένας ρωσικός φορέας απειλών που στοχεύει την Ουκρανία τουλάχιστον από το 2014 και θεωρείται μέρος της FSB (Ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας).
Εκστρατεία με επίκεντρο την Ουκρανία
Η εκστρατεία στόχευσης της Ουκρανίας της ομάδας Armageddon διανέμει emails σχετικά με «Πληροφορίες για εγκληματίες πολέμου της Ρωσικής Ομοσπονδίας» σε διάφορες κυβερνητικές υπηρεσίες της χώρας.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου, που αποστέλλονται από το “vadim_melnik88@i[.]ua”, περιέχουν ένα συνημμένο HTML.
Εάν ανοιχτεί, δημιουργείται αυτόματα ένα αρχείο RAR και αποτίθεται στον υπολογιστή, το οποίο υποτίθεται ότι περιέχει τα στοιχεία αναγνώρισης των υπευθύνων για εγκλήματα πολέμου στην Ουκρανία σε ένα αρχείο συντόμευσης (.lnk).
Ωστόσο, κάνοντας κλικ σε αυτό το αρχείο LNK θα γίνει λήψη ενός άλλου αρχείου HTA με κώδικα VBScript που εκτελεί μια δέσμη ενεργειών PowerShell για να φέρει το τελικό payload.
Εκστρατεία της ΕΕ
Στην εκστρατεία που στοχεύει διάφορους κυβερνητικούς αξιωματούχους της ΕΕ, η Armageddon χρησιμοποιεί συνημμένα αρχείου RAR με την ονομασία “Assistance” και “Necessary_military_assistance”.
Αυτά τα αρχεία περιέχουν αρχεία συντομεύσεων (.lnk) που υποτίθεται ότι περιλαμβάνουν λίστες με πράγματα που χρειάζονται για στρατιωτική και ανθρωπιστική βοήθεια στην Ουκρανία. Το άνοιγμα αυτού του αρχείου ενεργοποιεί την ίδια αλυσίδα μόλυνσης από malware που περιγράφεται στην προηγούμενη ενότητα.
Η διεύθυνση του αποστολέα είναι “info@military-ukraine[.]site”, η οποία μπορεί να θεωρηθεί νόμιμη, ενώ ο υπογράφοντος υποτίθεται ότι είναι ο Αναπληρωτής Διοικητής Εξοπλισμών και Υποστράτηγος στην Ουκρανία.
Δείτε επίσης: Phishing email ενημερώνει για υποτιθέμενα φωνητικά μηνύματα WhatsApp
Δείτε επίσης: Ψεύτικες εκδόσεις πραγματικών smartphone apps χρησιμοποιούνται για τη διάδοση malware
Το CERT-UA έχει επιβεβαιώσει τουλάχιστον μία περίπτωση αυτών των email που έφτασαν στα εισερχόμενα της κυβέρνησης της Λετονίας. Ως εκ τούτου, η ίδια εκστρατεία πιθανότατα στοχεύει περισσότερες ευρωπαϊκές κυβερνήσεις.
Αυτή η αναφορά είναι σύμφωνη με άλλα πρόσφατα ευρήματα επιθέσεων ρωσικής προέλευσης που στοχεύουν οντότητες της ΕΕ.
Πηγή πληροφοριών: bleepingcomputer.com
.){kind=link}