- WIADOMOŚCI
Nowa fala cyberataków na Ukrainie. Wirus zamiast aktualizacji
Organizacje na Ukrainie stały się celem nowego ataku phishingowego. Aktorzy zagrożeń rozsyłają wiadomości e-mail ze złośliwym załącznikiem, podszywając się pod rządowe instytucje. Za działania ma odpowiadać grupa działająca na jednym z kanałów Telegram.
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
Wojna na Ukrainie toczy się nie tylko metodami konwencjonalnymi. Od samego początku pełnoskalowej inwazji Rosji działania prowadzone są również w cyberprzestrzeni – zarówno w zakresie ataków, jak i operacji wpływu.
Na naszych łamach tylko w ostatnich miesiącach informowaliśmy o wykorzystywaniu przez Rosjan zaufania do organizacji charytatywnych w celu rozpowszechniania malware’u na ukraińskich komputerach, czy o działaniach prowadzonych za pośrednictwem komunikatora Viber. Efekty incydentów są na tyle szerokie, że mówi się nawet o „wojnie hakerów”.
Rzekoma wiadomość od administracji publicznej
W styczniu oraz lutym zaobserwowano nową kampanię wymierzoną w ukraińskie podmioty.
Jak poinformował w swoim komunikacie zespół CERT-UA, głównym kanałem wykorzystywanym przez aktorów zagrożeń stały się e-maile.
Z dostępnych informacji wynika, że sprawcy podszywają się w wiadomościach pod regionalne lub centralne organy administracji publicznej. W treści znajduje się informacja, że konieczna jest aktualizacja aplikacji powiązanych z cywilnymi bądź wojskowymi systemami – kilka IoC (indicators of compromise) wskazuje na wykorzystanie wizerunku aplikacji Diia.
W jednym z przykładowych e-maili jako przyczynę wskazano „audyt efektywnego wykorzystania środków budżetowych”. Inny zaś wskazuje na zawieszenie aktualizacji bez licencji ze względu na trwające cyberataki.
Złośliwe oprogramowanie zamiast aktualizacji
Każda z wiadomości zawierała załącznik w postaci archiwum .rar lub .zip z plikiem wykonywalnym .exe, który zgodnie z dołączoną do e-maila instrukcją należało rozpakować i uruchomić. W rzeczywistości jednak nie była to aktualizacja czy program do automatycznej wysyłki danych do władz, tylko złośliwe oprogramowanie.
Stosowano również nieco inną odmianę ataku. Zamiast skompresowanego pliku, aktorzy zagrożeń zalecali przejście na zalinkowaną w treści stronę internetową. Ponieważ ta była podatna na ataki XSS (cross-site scripting), na komputerze ofiary wykonywany był złośliwy kod JavaScript, który infekował komputer za pomocą malware.
Dwa stealery oraz backdoor
Zespół CERT-UA zidentyfikował trzy narzędzia wykorzystywane w ramach kampanii:
- SHADOWSNIFF – oprogramowanie do wykradania danych (stealer) z GitHub,
- SALATSTEALER – oprogramowane wykradające dane, z rodzaju malware-as-a-service,
- DEAFTICK – backdoor napisany w języku Go.
Eksperci odnaleźli również repozytorium na portalu GitHub, w którym zawarto oprogramowanie ransomware nazwane Avangard Ultimate v6.0. Dodatkowo, natknięto się na archiwum dotyczące wykorzystania podatności w zabezpieczeniach WinRAR, oznaczonej jako CVE-2025-8088.
Tym razem za atak nie jest odpowiedzialna rosyjska grupa APT. Według CERT-UA, sprawcy należą do grupy skupionej na kanale Telegram nazwanym „PalachPro”.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?