Σύμφωνα με μία προειδοποίηση της Ομάδας Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών (CERT) της Ουκρανίας, μία ρωσική ομάδα hacking γνωστή ως Sandworm μπορεί να εκμεταλλεύεται Follina exploits, που επιτρέπουν απομακρυσμένη εκτέλεση κώδικα, στο Διαγνωστικό Εργαλείο Υποστήριξης των Microsoft Windows (MSDT) και επί του παρόντος αναφέρεται ως CVE-2022-30190.
Δείτε επίσης: H Microsoft συνεχίζει να υποβαθμίζει την σοβαρότητα της Follina 0-day
Το ζήτημα ασφαλείας μπορεί να προκληθεί είτε ανοίγοντας είτε επιλέγοντας ένα ειδικά κατασκευασμένο έγγραφο και οι φορείς απειλών το εκμεταλλεύονται σε επιθέσεις τουλάχιστον από τον Απρίλιο του 2022.
Αξίζει να σημειωθεί ότι το πρακτορείο της Ουκρανίας αξιολογεί ότι πίσω από την κακόβουλη δραστηριότητα βρίσκεται η ομάδα hacking Sandworm.
Το CERT-UA λέει ότι Ρώσοι hackers ξεκίνησαν μια νέα κακόβουλη εκστρατεία ηλεκτρονικού ταχυδρομείου, αξιοποιώντας το Follina και στοχεύοντας περισσότερους από 500 παραλήπτες σε διάφορους οργανισμούς μέσων ενημέρωσης στην Ουκρανία, συμπεριλαμβανομένων ραδιοφωνικών σταθμών και εφημερίδων.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν το θέμα “LIST of links to interactive maps” και φέρουν συνημμένο .DOCX με το ίδιο όνομα. Κατά το άνοιγμα του αρχείου, ο κώδικας JavaScript εκτελείται για την ανάκτηση ενός ωφέλιμου φορτίου με το όνομα “2.txt”, το οποίο η CERT-UA ταξινόμησε ως “κακόβουλο CrescentImp”.
Δείτε ακόμα: Cobalt Strike: Fake exploits των Windows στοχεύουν ερευνητές ασφαλείας
Το CERT-UA έχει παράσχει ένα σύντομο σύνολο δεικτών παραβίασης, για να βοηθήσει τους υπερασπιστές να εντοπίσουν μολύνσεις CrescentImp. Ωστόσο, δεν είναι σαφές σε ποιον τύπο οικογένειας κακόβουλου λογισμικού ανήκει το CrescentImp ή τη λειτουργικότητά του.
Οι κατακερματισμοί από το CERT-UA δεν δείχνουν ανίχνευση αυτή τη στιγμή στην πλατφόρμα σάρωσης Virus Total.
Η ομάδα Sandworm στοχεύει συνεχώς την Ουκρανία τα τελευταία χρόνια και η συχνότητα των επιθέσεων αυξήθηκε μετά τη ρωσική εισβολή στη χώρα.
Τον Απρίλιο, ανακαλύφθηκε ότι η Sandworm προσπάθησε να καταστρέψει έναν μεγάλο ουκρανικό πάροχο ενέργειας, στοχεύοντας τους ηλεκτρικούς του υποσταθμούς με μια νέα παραλλαγή του κακόβουλου λογισμικού Industroyer.
Τον Φεβρουάριο, ερευνητές ασφαλείας ανακάλυψαν ότι η Sandworm ήταν η ομάδα που ήταν υπεύθυνη για τη δημιουργία και τη λειτουργία του botnet Cyclops Blink, ενός εξαιρετικά επίμονου κακόβουλου λογισμικού που βασίζεται σε χειρισμό υλικολογισμικού.
Δείτε επίσης: Στο Dark Web πωλούνται όπλα που στάλθηκαν από την Δύση ως βοήθεια στην Ουκρανία
Στα τέλη Απριλίου, οι ΗΠΑ όρισαν μια ανταμοιβή 10.000.000 δολαρίων για όποιον μπορούσε να βοηθήσει στον εντοπισμό έξι ατόμων που πιστεύεται ότι ήταν μέλη της διαβόητης ομάδας hacking.
