SBU: Rosyjscy hakerzy znów atakują infrastrukturę krytyczną Ukrainy

Cyberprzestępcy w realizowanych przez siebie działaniach posługują się złośliwym dokumentem tekstowym, dotyczącym rzekomego nałożenia kar finansowych za niepłacenie podatków. 

Podszywają się przy tym pod ukraińskie służby podatkowe, a plik spakowany jest w archiwum .zip. Po otwarciu pliku uruchamia się plik HTML i wykonuje kod JavaScript, wykorzystujący podatność CVE-2022-30190, który pobiera i uruchamia złośliwe oprogramowanie o nazwie Cobalt Strike Beacon.

Groźba ataku nuklearnego jako socjotechnika

W drugim cyberataku sprawcy atakujący infrastrukturę krytyczną Ukrainy uciekają się do działań socjotechnicznych z wykorzystaniem strachu przed atakiem nuklearnym.

Rozsyłają dokument „Nuclear Terrorism A Very Real Threat.rtf" (Terroryzm jądrowy to bardzo realne zagrożenie", który również uruchamia plik HTML i wykonuje kod JavaScript. W tym wypadku jednak pobiera się złośliwe oprogramowanie CredoMap.

Metadane pliku - według CERT-UA - wskazują, że dokument ostatni raz zmodyfikowano 9 czerwca 2022 roku. Dystrybucja nastąpiła dzień później.

W wypadku tego ataku, ukraińscy eksperci łączą go z aktywnością rosyjskiej grupy APT28.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].