Operacja wymierzona w ukraińskie wojsko i służby. Zaczyna się od maila

Ukraiński zespół reagowania na incydenty CERT-UA od początku lutego br. śledzi wrogą aktywność wymierzoną w tamtejsze centra wojskowych innowacji, jednostki sił zbrojnych, organy ścigania oraz samorządy. Jak wskazują eksperci, operacja jest prowadzona z myślą o szpiegostwie.

Ważny temat ma przykuć uwagę

Specjaliści podają, że w ramach cyberataków rozsyłane są e-maile z załączonym plikiem Excela. Tematy wiadomości oraz samych plików odnoszą się do – jak to określił CERT-UA – „wrażliwych kwestii”, takich jak np. produkcja dronów czy rozminowywanie terenu. Maile wysyłane są z zainfekowanych wcześniej kont.

Złośliwe oprogramowanie w pliku

W praktyce arkusz .xls jest nośnikiem złośliwego oprogramowania. W ostatnim czasie atakujący posługują się m.in. GIFTEDCROOK-iem, przeznaczonym do m.in. kradzieży danych uwierzytelniających i ich eksfiltracji.

CERT-UA śledzi omawianą aktywność pod sygnaturą UAC-0226. Nie dokonano jednak atrybucji ataki.

Kolejna taka kampania

Przypomnijmy, że na początku kwietnia br. opisywaliśmy inną kampanię wymierzoną w ukraińskie organy rządowe i infrastrukturę krytyczną. Podobnie jak ww. przypadku, również celem wrogiej operacji było szpiegostwo. Atakujący wykorzystali oprogramowanie do wyszukiwania dokumentów, robienia screenów i przesyłania pozyskanych informacji na zewnętrzny serwer. 

Więcej piszemy w materiale: Próba kradzieży poufnych danych ukraińskiego rządu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].