Ukraina: wykryto nowe kampanie

Ukraiński zespół reagowania na incydenty CERT-UA od 20 maja br. odnotowuje wzrost aktywności grupy UAC-0006, której członkowie mają kierować się motywami finansowymi. 

Wieloletnia aktywność grupy

Mówimy o aktorze, który prowadził ataki już w 2013 r. Jego działalność była względnie nieprzerwana do 2021. Wówczas nastąpił czas „wyciszenia”. Od maja 2023 r. grupa ponownie stała się aktywna.

Przykładem może być kampania z połowy lipca ubiegłego roku, polegająca na rozsyłaniu złośliwych wiadomości przy wykorzystaniu siatki botów. Opisywaliśmy ją szerzej na naszych łamach: Boty w masowej akcji.

Kampania trwa

Teraz CERT-UA wydał komunikat dotyczący nowej fali cyberataków UAC-0006. Czytamy w nim, że 21 maja 2024 r. przeprowadzono minimum dwie kampanie, których celem była dystrybucja złośliwego oprogramowania SmokeLoader. Dla wyjaśnienia warto wskazać - za CERT Polska - że to mały, modularny bot wykorzystywany do instalowania różnych rodzin złośliwego oprogramowania. Można powiedzieć, że bliżej mu do trojana niż droppera. 

Grupa używa botów

Oprogramowanie jest rozpowszechniane mailem. Ostatecznym celem jest zainfekowanie urządzenia m.in. narzędziami RMS (Remote Manipulator System). Podobnie jak to było w lipcu 2023 r., grupa posługuje się siatką botów(CERT-UA mówi o kilkuset komputerach).

Trzeba być czujnym

W związku z aktywnością atakujących, zdaniem naszych wschodnich sąsiadów, „w najbliższej przyszłości należy spodziewać się kolejnych wyłudzeń”. Działania mogą być ukierunkowane na m.in. podmioty odpowiedzialne za finanse (np. księgowość). Aby zmniejszyć ryzyko, warto zadbać o cyberbezpieczeństwo i świadomość personelu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].