Το Computer Emergency Response Team της Ουκρανίας (CERT-UA) λέει ότι hackers στοχεύουν κυβερνητικές υπηρεσίες της χώρας με νέες επιθέσεις που χρησιμοποιούν Zimbra exploits και επιθέσεις phishing που διανέμουν το IcedID malware.
Οι ειδικοί έχουν κάνει κάποιες πρώτες υποθέσεις σχετικά με τις hacking ομάδες που βρίσκονται πίσω από τις επιθέσεις, αλλά δεν υπάρχει κάτι σίγουρο.
Και στις δύο περιπτώσεις (Zimbra exploits, διανομή IcedID malware), ο στόχος των hackers είναι να αποκτήσουν πρόσβαση σε εσωτερικά δίκτυα για την εκτέλεση κυβερνοκατασκοπείας στις πιο κρίσιμες κυβερνητικές υπηρεσίες της Ουκρανίας.
Δείτε επίσης: Η Microsoft αναλαμβάνει τον έλεγχο της υποδομής botnet ZLoader
Hackers μολύνουν κρατικούς οργανισμούς της Ουκρανίας με το IcedID malware
Σύμφωνα με την πρώτη αναφορά, βρίσκεται σε εξέλιξη μια phishing εκστρατεία που διανέμει έγγραφα XLS με το όνομα “Mobilization Register.xls”. Τα phishing μηνύματα έχουν φτάσει σε πολλούς παραλήπτες.
Αν κάποιος ανοίξει το έγγραφο, θα κληθεί να “Ενεργοποιήσει το περιεχόμενο” για προβολή. Η ενεργοποίηση επιτρέπει την εκτέλεση κακόβουλης μακροεντολής που οδηγεί σε λήψη και εκτέλεση ενός κακόβουλου αρχείου. Αυτό το αρχείο είναι το κακόβουλο λογισμικό GzipLoader, το οποίο ανακτά, αποκρυπτογραφεί και εκτελεί το τελικό payload, το IcedID (γνωστό και ως BankBot).
Το IcedID malware είναι ένα modular banking trojan που χρησιμοποιείται για την κλοπή credentials. Ωστόσο, μπορεί να λειτουργήσει και ως loader για τη λήψη πρόσθετων malware, όπως Cobalt Strike, ransomware, wipers και άλλα.
Hackers κατασκοπεύουν κυβερνητικές υπηρεσίες της Ουκρανίας
Η δεύτερη αναφορά των ειδικών περιλαμβάνει ένα email που στάλθηκε σε κυβερνητικές υπηρεσίες της Ουκρανίας, με συνημμένες εικόνες που φέρονται να προέρχονται από εκδήλωση όπου ο Πρόεδρος V. Zelensky βράβευσε μέλη των Ενόπλων Δυνάμεων.
Δείτε επίσης: Microsoft bug bounty: Επέκταση προγραμμάτων και αύξηση αμοιβών
Οι συνημμένες εικόνες περιέχουν ένα content-location header που συνδέεται με έναν web resource που φιλοξενεί JavaScript code, ο οποίος ενεργοποιεί την εκμετάλλευση της ευπάθειας CVE-2018-6882. Πρόκειται για μια cross-site scripting ευπάθεια που επηρεάζει τις εκδόσεις 8.7 και παλαιότερες του Zimbra Collaboration Suite, επιτρέποντας στους απομακρυσμένους εισβολείς να εισάγουν web script ή HTML μέσω content-location header σε συνημμένα email.
Σε αυτήν την καμπάνια, η εκμετάλλευση της ευπάθειας προσθέτει ένα forwarding rule για τα email του θύματος σε μια νέα διεύθυνση που βρίσκεται υπό τον έλεγχο του επιτιθέμενου. Σύμφωνα με τους ειδικούς, αυτό είναι ξεκάθαρα μια κίνηση που στοχεύει στην κυβερνοκατασκοπεία.
Δείτε επίσης: Ευπάθεια στο Rarible NFT Marketplace επέτρεψε μεταφορές crypto asset
Η Zimbra είχε παρόμοιο πρόβλημα νωρίτερα φέτος, επηρεάζοντας τις πιο πρόσφατες εκδόσεις 8.8.15 P29 & P30 του suite. Αυτό το σφάλμα χρησιμοποιήθηκε ως zero-day από Κινέζους hackers για την κλοπή emails ευρωπαϊκών μέσων ενημέρωσης και κυβερνητικών οργανισμών.
Ως εκ τούτου, η CERT-UA συμβουλεύει όλους τους οργανισμούς της Ουκρανίας που χρησιμοποιούν το Zimbra να ενημερώνουν αμέσως στις πιο πρόσφατες διαθέσιμες εκδόσεις για να προστατευτούν από τους hackers.
Πηγή: Bleeping Computer