Het Computer Emergency Response Team van Oekraïne (CERC-UA) heeft aangetoond dat niet minder dan drie cyberaanvallen werden geregistreerd tegen overheidsinstanties en kritieke infrastructuurfaciliteiten in het land met als doel gevoelige gegevens te stelen.
De campagne, zei het bureau, betrof het gebruik van gecompromitteerde e -mailaccounts om phishing -berichten te verzenden die links bevatten die wijzen op legitieme diensten zoals Dropmefiles en Google Drive. In sommige gevallen zijn de links ingebed in PDF -bijlagen.
De digitale missieven probeerden een vals gevoel van urgentie te veroorzaken door te beweren dat een Oekraïense overheidsinstantie van plan was om salarissen te verlagen en de ontvanger aanspoorde om op de link te klikken om de lijst met getroffen werknemers te bekijken.
Het bezoeken van deze links leidt tot het downloaden van een Visual Basic Script (VBS) -lader die is ontworpen om een PowerShell -script op te halen en uit te voeren dat bestanden kan oogsten die overeenkomen met een specifieke set extensies en het maken van screenshots.
De activiteit, toegeschreven aan een bedreigingscluster gevolgd als UAC-0219, zou al sinds tenminste 2024 aan de gang zijn, met vroege iteraties met behulp van een combinatie van exe binaries, een VBS-staler en een legitieme beeldeditor-software genaamd Irfanview om de doelen te realiseren.
CERT-UA heeft de VBS-lader en de PowerShell Malware het naam Wrecksteel gegeven. De aanvallen zijn aan geen enkel land toegeschreven.
De cyberaanvallen volgen de ontdekking van een phishing -campagne die zich heeft gericht op defensie- en ruimtevaartentiteiten met links naar het lopende conflict in Oekraïne om webmail -referenties te oogsten via nep -inlogpagina’s.
“De aanvallers lijken de pagina te hebben gebouwd met behulp van Mailu, een open-source e-mailserversoftware beschikbaar op Github,” zei het Domaintools Investigations (DTI) -team.
“De focus op spoofing -organisaties die betrokken zijn bij de defensie- en telecommunicatie -infrastructuur van Oekraïne suggereert verder de intentie om inlichtingen te verzamelen met betrekking tot het conflict in Oekraïne. Met name veel van de vervalste verdediging, ruimtevaart en IT -bedrijven hebben ondersteuning geboden aan de militaire inspanningen van Oekraïen in haar conflict met Rusland.”
Rusland-uitgelijnde intrusiesets zoals UAC-0050 en UAC-0006 zijn ook waargenomen met het uitvoeren van financiële en spam-campagnes met spam sinds het begin van 2025, voornamelijk gericht op verschillende verticalen zoals overheden, defensie, energie, energie en NGO’s, om malware-families zoals SLOAD, REMCOS RAT, NETSUPPORT RAT, NETSUPPORT RAT, NETSUPPORT RAT, NETSUPPORT RAT, NETSUPPORT RAT, NETSUPPORT RAT, NETSUPPORT RAT, NETSUPPORT RAT en SMOKELOADER te distribueren.
De ontwikkeling komt wanneer Kaspersky waarschuwde dat de dreigingsacteur die bekend staat als Head Mare, verschillende Russische entiteiten heeft gericht met een malware die bekend staat als Phantompyramid die in staat is om instructies te verwerken die door de operator worden uitgegeven via een command-and-control (C2) -server, evenals het downloaden en uitvoeren van extra ladingen zoals Meshagent.
Russische energiebedrijven, industriële ondernemingen en leveranciers en ontwikkelaars van organisaties voor elektronische componenten zijn ook aan de ontvangende kant van phishing -aanvallen die zijn gemonteerd door een bedreigingsacteur met de codenaam Unicorn die een VBS Trojan liet vallen die is ontworpen om bestanden en afbeeldingen van geïnfecteerde gastheren te overhevelen.
Eind vorige maand onthulde Seqrite Labs dat academische, overheids-, ruimtevaart- en defensiegerelateerde netwerken in Rusland het doelwit zijn van bewapende decoydocumenten, waarschijnlijk verzonden via phishing-e-mails, als onderdeel van een campagne nagesynchroniseerd Operatie Hollowquill. Aangenomen wordt dat de aanvallen rond december 2024 zijn begonnen.
De activiteit maakt gebruik van sociale engineeringtrucs, waarbij PDF’s met malware worden vermomd als onderzoeksuitnodigingen en overheidscommuniqués om nietsvermoedende gebruikers te verleiden de aanvalsketen te activeren.
“De Entity Entity levert een kwaadaardig RAR-bestand dat een .NET-malware-dropper bevat, die een Golang-gebaseerde Shellcode-lader verder laat vallen, samen met de legitieme OneDrive-toepassing en een op Decoy gebaseerde PDF met een laatste kobaltstakingspayload,” zei beveiligingsonderzoeker Subhajeet Singha.
