Μια συνεχιζόμενη εκστρατεία ηλεκτρονικού “ψαρέματος” (phishing) με δέλεαρ που έχει ως θέμα τα τιμολόγια χρησιμοποιείται για τη διανομή του κακόβουλου λογισμικού SmokeLoader με τη μορφή ενός πολυγλωσσικού αρχείου, σύμφωνα με την Ομάδα Αντιμετώπισης Εκτάκτων Αναγκών Υπολογιστών της Ουκρανίας (CERT-UA).
Τα μηνύματα ηλεκτρονικού ταχυδρομείου, σύμφωνα με τον οργανισμό, αποστέλλονται με τη χρήση παραβιασμένων λογαριασμών και συνοδεύονται από ένα αρχείο ZIP που στην πραγματικότητα περιέχει ένα πολυγλωσσικό αρχείο που περιέχει ένα έγγραφο δόλωμα και ένα αρχείο JavaScript.
Ο κώδικας JavaScript χρησιμοποιείται στη συνέχεια για την εκκίνηση ενός εκτελέσιμου αρχείου που προετοιμάζει το έδαφος για την εκτέλεση του κακόβουλου λογισμικού SmokeLoader. Το SmokeLoader, που εντοπίστηκε για πρώτη φορά το 2011, είναι ένας loader του οποίου ο κύριος στόχος είναι να κατεβάσει ή να φορτώσει ένα πιο αθόρυβο ή πιο αποτελεσματικό κακόβουλο λογισμικό σε μολυσμένα συστήματα.
Η CERT-UA απέδωσε τη δραστηριότητα σε έναν απειλητικό παράγοντα που αποκαλεί UAC-0006 και τη χαρακτήρισε ως μια επιχείρηση με οικονομικά κίνητρα που πραγματοποιήθηκε με στόχο την κλοπή credential και τη διενέργεια μη εξουσιοδοτημένων μεταφορών κεφαλαίων.
Σε μια σχετική συμβουλευτική, η Αρχή Κυβερνοασφάλειας της Ουκρανίας αποκάλυψε επίσης λεπτομέρειες για καταστροφικές επιθέσεις που ενορχηστρώθηκαν από μια ομάδα γνωστή ως UAC-0165 εναντίον οργανισμών του δημόσιου τομέα.
Η επίθεση, με στόχο έναν ανώνυμο κρατικό οργανισμό, περιλάμβανε τη χρήση ενός νέου κακόβουλου λογισμικού wiper που βασίζεται σε batch script και ονομάζεται RoarBAT. Αυτό το κακόβουλο λογισμικό εκτελεί αναδρομική αναζήτηση για αρχεία με μια συγκεκριμένη λίστα επεκτάσεων και τα διαγράφει αμετάκλητα χρησιμοποιώντας το νόμιμο βοηθητικό πρόγραμμα WinRAR.
Αυτό, με τη σειρά του, επιτεύχθηκε με την αρχειοθέτηση των αναγνωρισμένων αρχείων χρησιμοποιώντας την επιλογή γραμμής εντολών “-df” και στη συνέχεια με την εκκαθάριση των αρχείων που δημιουργήθηκαν. Το batch script εκτελέστηκε μέσω μιας προγραμματισμένης εργασίας.
Ταυτόχρονα, συστήματα Linux παραβιάστηκαν χρησιμοποιώντας ένα bash script που αξιοποίησε το dd utility για την αντικατάσταση αρχείων με zero bytes, αποφεύγοντας αποτελεσματικά την ανίχνευση από το λογισμικό ασφαλείας.
Η υπηρεσία απέδωσε περαιτέρω, με μέτρια εμπιστοσύνη, το UAC-0165 στην περιβόητη ομάδα Sandworm (γνωστή και ως FROZENBARENTS, Seashell Blizzard ή Voodoo Bear), η οποία έχει ιστορικό επιθέσεων wiper από την έναρξη του ρωσο-ουκρανικού πολέμου πέρυσι.
Η σύνδεση με την Sandworm προκύπτει από σημαντικά overlaps με μια άλλη καταστροφική επίθεση που έπληξε το ουκρανικό κρατικό πρακτορείο ειδήσεων Ukrinform τον Ιανουάριο του 2021, το οποίο ήταν συνδεδεμένο με το αντίπαλο adversarial.
Οι ειδοποιήσεις ήρθαν μια εβδομάδα μετά την προειδοποίηση της CERT-UA για επιθέσεις ηλεκτρονικού “ψαρέματος” που πραγματοποιήθηκαν από τη ρωσική κρατική ομάδα APT28, η οποία στόχευε κυβερνητικούς φορείς της χώρας με ψεύτικες ειδοποιήσεις για ενημερώσεις των Windows.
Πηγή πληροφοριών: thehackernews.com
