Μια εκστρατεία phishing στοχεύει το προσωπικό της ευρωπαϊκής επιτροπής που παρέχει υλικοτεχνική υποστήριξη στους Ουκρανούς πρόσφυγες.
Δείτε επίσης: Μια συνεχιζόμενη καμπάνια phishing στοχεύει τους πελάτες της Citibank
Σύμφωνα με την αμερικανική εταιρεία κυβερνοασφάλειας Proofpoint, οι επιτιθέμενοι χρησιμοποιούν «πιθανώς παραβιασμένους» λογαριασμούς email μελών των ουκρανών ενόπλων δυνάμεων για να παραδώσουν το μήνυμα phishing.
Οι ερευνητές είπαν ότι οι επιθέσεις phishing που παρατήρησαν στόχευαν μόνο ευρωπαϊκές κυβερνητικές οντότητες και πρόσθεσαν ότι, προς το παρόν, δεν μπορούν να αποδώσουν τις επιθέσεις σε κάποια συγκεκριμένη ομάδα hacking.
“Η Proofpoint εντόπισε μια πιθανή εκστρατεία phishing που χρηματοδοτείται από έθνος-κράτος χρησιμοποιώντας έναν πιθανό παραβιασμένο λογαριασμό email ενός μέλους των ενόπλων δυνάμεων της Ουκρανίας για να στοχεύσει το προσωπικό της ευρωπαϊκής επιτροπής που εμπλέκεται στη διαχείριση της επιμελητείας των προσφύγων που φεύγουν από την Ουκρανία“, ανέφεραν οι ερευνητές της Proofpoint.
Το email περιελάμβανε ένα κακόβουλο συνημμένο μακροεντολής το οποίο προσπάθησε να κατεβάσει ένα Lua-based malware με το όνομα SunSeed, ένα πρόγραμμα λήψης κακόβουλου λογισμικού που μπορεί να χρησιμοποιηθεί για την παράδοση payload δεύτερου σταδίου σε παραβιασμένες συσκευές.
Δείτε επίσης: Η Ουκρανία συνδέει phishing που στοχεύει ένοπλες δυνάμεις με Λευκορώσους χάκερ
Ωστόσο, με βάση την αλυσίδα μόλυνσης, οι ερευνητές είπαν ότι η εκστρατεία παρακολουθείται καθώς πιθανότατα σχετίζεται με επιθέσεις phishing που έγιναν τον Ιούλιο του 2021 και που συνδέονται με την ομάδα Ghostwriter (παρακολουθείται και ως TA445 ή UNC1151).
Η ομάδα Ghostwriter συνδέθηκε από τους ερευνητές ασφαλείας της Mandiant με την κυβέρνηση της Λευκορωσίας.
Από τότε που η Ρωσία εισέβαλε στην Ουκρανία πριν από επτά ημέρες, αυτή η ομάδα έχει ήδη συνδεθεί με άλλες επιθέσεις εναντίον Ουκρανών.
Για παράδειγμα, η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) προειδοποίησε ότι οι χειριστές Ghostwriter προσπαθούν να παραβιάσουν τους ιδιωτικούς λογαριασμούς email του ουκρανικού στρατιωτικού προσωπικού και των «σχετικών ατόμων» για την παροχή phishing στις επαφές τους.
Δείτε επίσης: Ιστότοποι phishing eBike προωθούν απάτες μέσω του Google Ads
Τη Δευτέρα, το Facebook κατάργησε και λογαριασμούς που χρησιμοποιούσε το Ghostwriter για να στοχεύσει τους λογαριασμούς Ουκρανών αξιωματούχων και στρατιωτικού προσωπικού στην πλατφόρμα του. Πρόσθεσε επίσης ότι απέκλεισε τα phishing domains που χρησιμοποιούνται για την προσπάθεια παραβίασης των λογαριασμών των Ουκρανών χρηστών.
Πηγή πληροφοριών: bleepingcomputer.com
