Het Computer Emergency Response Team van Oekraïne (Cert-UA) heeft een nieuwe reeks cyberaanvallen onthuld die gericht zijn op Oekraïense instellingen met informatie-stelen malware.
De activiteit is gericht op militaire formaties, wetshandhavingsinstanties en lokale zelfbestuurslichamen, met name die in de buurt van de oostelijke grens van Oekraïne, zei het agentschap.
De aanvallen omvatten het distribueren van phishing-e-mails met een macro-compatibele Microsoft Excel-spreadsheet (XLSM), die, wanneer geopend, faciliteiten de implementatie van twee stukken malware, een PowerShell-script genomen van de PSSW100avb (“PowerShell Scripts met 100% Av bypass”) GITHub-repository die een omgekeerde shellie opent, en een voorheen undocumened geocumenteerd “) GiftedCrook.
“Bestandsnamen en e-mailonderwerpen Referentie relevante en gevoelige kwesties zoals demining, administratieve boetes, UAV-productie en compensatie voor vernietigde eigendommen,” zei Cert-UA.
“Deze spreadsheets bevatten schadelijke code die bij het openen van het document en het inschakelen van macro’s automatisch transformeert in malware en wordt uitgevoerd zonder de kennis van de gebruiker.”
GiftedCrook, geschreven in C/C ++, vergemakkelijkt de diefstal van gevoelige gegevens van webbrowsers zoals Google Chrome, Microsoft Edge en Mozilla Firefox, zoals cookies, browsegeschiedenis en authenticatiegegevens.
De e -mailberichten worden verzonden vanuit gecompromitteerde accounts, vaak via de webinterface van e -mailclients, om de berichten een fineer van legitimiteit te geven en potentiële slachtoffers te misleiden om de documenten te openen. Cert-UA heeft de activiteit toegeschreven aan een dreigingscluster UAC-0226, hoewel het niet is gekoppeld aan een specifiek land.
De ontwikkeling komt als een vermoedelijke Rusland-Nexus spionage-acteur genaamd UNC5837 is gekoppeld aan een phishing-campagne gericht op de Europese overheid en militaire organisaties in oktober 2024.
“De campagne gebruikte ondertekende .RDP -bestandsbijlagen om Remote Desktop Protocol (RDP) -verbindingen op te zetten uit machines van slachtoffers,” zei de Google Threat Intelligence Group (GTIG).
“In tegenstelling tot typische RDP-aanvallen die gericht zijn op interactieve sessies, maakte deze campagne creatief gebruik van resource-omleiding (slachtofferbestandssystemen in kaart naar de aanvallersservers) en RemoteApps (die aanvaller-gecontroleerde toepassingen presenteren aan slachtoffers).”
Het is vermeldenswaard dat de RDP-campagne eerder is gedocumenteerd door Cert-UA, Amazon Web Services en Microsoft in oktober 2024 en vervolgens in december door Trend Micro. Cert-UA volgt de activiteit onder de naam UAC-0215, terwijl de anderen deze hebben toegeschreven aan de door de Russische door de staat gesponsorde hackinggroep APT29.
De aanval is ook opmerkelijk voor het waarschijnlijke gebruik van een open-source tool genaamd PYRDP om kwaadaardige activiteiten te automatiseren, zoals bestanden-exfiltratie en klembordinvang, inclusief potentieel gevoelige gegevens zoals wachtwoorden.
“De campagne stelde aanvallers waarschijnlijk in staat om slachtofferaandrijvingen te lezen, bestanden te stelen, klembordgegevens vast te leggen (inclusief wachtwoorden) en variabelen voor slachtoffers omgevingen te verkrijgen,” zei de GTIG in een maandagrapport. “Het primaire doel van UNC5837 lijkt spionage en stelen van bestanden te zijn.”
In de afgelopen maanden zijn phishingcampagnes ook waargenomen met behulp van nep Captchas en CloudFlare Turnstile om Legion Loader (aka Satacom) te distribueren, die vervolgens dient als een kanaal om een kwaadaardige chroom-gebaseerde browserverlenging te laten vallen met de naam “Save to Google Drive.”
“De eerste lading wordt verspreid via een drive-by downloadinfectie die begint wanneer een slachtoffer naar een specifiek document zoekt en naar een kwaadaardige website wordt gelokt,” zei Netskope Threat Labs. “Het gedownloade document bevat een captcha die, eenmaal geklikt door het slachtoffer, het zal omleiden naar een cloudflare turnstile captcha en vervolgens uiteindelijk naar een meldingspagina.”
De pagina vraagt gebruikers om meldingen op de site toe te staan, waarna de slachtoffers worden omgeleid naar een tweede cloudflare turnstile captcha die na voltooiing opnieuw wordt omgeleid naar een pagina die instructies in clickfix-stijl biedt om het document te downloaden dat ze zoeken.
In werkelijkheid baant de aanval de weg voor de levering en uitvoering van een MSI -installatiebestand dat verantwoordelijk is voor het lanceren van Legion Loader, dat op zijn beurt een reeks stappen uitvoert om interim PowerShell -scripts te downloaden en uit te voeren, waardoor de Rogue Browser -extensie aan de browser wordt toegevoegd.
Het PowerShell -script beëindigt ook de browser -sessie voor de te instellen extensie, zet de ontwikkelaarsmodus in de instellingen in en lanceert de browser opnieuw. Het einddoel is om een breed scala aan gevoelige informatie vast te leggen en deze te exfiltreren aan de aanvallers.
