Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft een nieuwe kwaadaardige e-mailcampagne uitgewerkt die zich richt op overheidsinstanties, bedrijven en militaire entiteiten.
“De berichten maken gebruik van de aantrekkingskracht van het integreren van populaire diensten zoals Amazon of Microsoft en het implementeren van een zero-trust architectuur”, aldus CERT-UA. “Deze e-mails bevatten bijlagen in de vorm van Remote Desktop Protocol (‘.rdp’) configuratiebestanden.”
Eenmaal uitgevoerd, brengen de RDP-bestanden een verbinding tot stand met een externe server, waardoor de bedreigingsactoren externe toegang kunnen krijgen tot de gecompromitteerde hosts, gegevens kunnen stelen en extra malware kunnen installeren voor vervolgaanvallen.
Er wordt aangenomen dat de voorbereiding van de infrastructuur voor de activiteit al sinds augustus 2024 aan de gang is, waarbij het agentschap beweert dat het waarschijnlijk uit Oekraïne zal stromen om zich op andere landen te richten.
CERT-UA heeft de campagne toegeschreven aan een bedreigingsacteur die hij volgt als UAC-0215. Amazon Web Service (AWS) koppelde het in een eigen advies aan de Russische natiestaat-hackgroep bekend als APT29.
“Sommige van de domeinnamen die ze gebruikten probeerden de doelwitten te laten geloven dat de domeinen AWS-domeinen waren (dat waren ze niet), maar Amazon was niet het doelwit, en de groep was ook niet op zoek naar AWS-klantgegevens”, zegt CJ Moses, hoofdinformatie van Amazon. veiligheidsagent, zei. “In plaats daarvan zocht APT29 de Windows-gegevens van zijn doelwitten via Microsoft Remote Desktop.”
De technologiegigant zei dat het ook de domeinen in beslag nam die de tegenstander gebruikte om zich voor te doen als AWS om de operatie te neutraliseren. Enkele van de domeinen die door APT29 worden gebruikt, worden hieronder vermeld:
- ca-west-1.mfa-gov(.)cloud
- centraal-2-aws.ua-aws(.)leger
- us-east-2-aws.ua-gov(.)cloud
- aws-ukraine.cloud
- aws-data.cloud
- aws-s3.cloud
- aws-il.cloud
- aws-join.cloud
- aws-meet.cloud
- aws-meetings.cloud
- aws-online.cloud
- aws-secure.cloud
- s3-aws(.)wolk
- s3-fbi(.)wolk
- s3-nsa(.)cloud, en
- s3-proofpoint(.)cloud
De ontwikkeling komt omdat CERT-UA ook waarschuwde voor een grootschalige cyberaanval gericht op het stelen van vertrouwelijke informatie van Oekraïense gebruikers. De dreiging is gecatalogiseerd onder de naam UAC-0218.
Het startpunt van de aanval is een phishing-e-mail met een link naar een RAR-archief met boobytraps dat zich voordoet als rekeningen of betalingsgegevens.
In het archief bevindt zich een op Visual Basic Script gebaseerde malware genaamd HOMESTEEL die is ontworpen om bestanden te exfiltreren die overeenkomen met bepaalde extensies (“xls”, “xlsx”, “doc”, “docx”, “pdf”, “txt”, “csv, ” “rtf”, “ods”, “odt”, “eml”, “pst”, “rar” en “zip”) naar een door de aanvaller bestuurde server.
“Op deze manier kunnen criminelen toegang krijgen tot persoonlijke, financiële en andere gevoelige gegevens en deze gebruiken voor chantage of diefstal”, aldus CERT-UA.
Bovendien heeft CERT-UA gewaarschuwd voor een campagne in ClickFix-stijl die is ontworpen om gebruikers te misleiden tot kwaadaardige links die zijn ingebed in e-mailberichten om een PowerShell-script te laten vallen dat in staat is een SSH-tunnel tot stand te brengen, gegevens uit webbrowsers te stelen en de Metasploit te downloaden en te starten. raamwerk voor penetratietesten.
Gebruikers die op de link klikken, worden doorgestuurd naar een nep-reCAPTCHA-verificatiepagina waarop hen wordt gevraagd hun identiteit te verifiëren door op een knop te klikken. Deze actie kopieert het kwaadaardige PowerShell-script (“Browser.ps1”) naar het klembord van de gebruiker en geeft een pop-upvenster weer met instructies om het uit te voeren via het dialoogvenster Uitvoeren in Windows.
CERT-UA zei dat het een “gemiddeld niveau van vertrouwen” heeft dat de campagne het werk is van een andere Russische geavanceerde aanhoudende dreigingsacteur, bekend als APT28 (ook bekend als UAC-0001).
De cyberoffensieven tegen Oekraïne komen te midden van een rapport van Bloomberg dat gedetailleerd beschrijft hoe de Russische militaire inlichtingendienst en de Federale Veiligheidsdienst (FSB) tussen 2017 en 2020 systematisch de Georgische infrastructuur en regering aanvielen als onderdeel van een reeks digitale inbraken. vastgemaakt aan Turla.
