Devlet destekli bir tehdit aktörünün koordine edilen mızraksız kimlik avı kampanyası, Ukrayna mültecilerine lojistik desteği sağlayan Avrupa hükümet personelini hedeflemektedir.
Amerikan Siber Güvenlik Firması Profuk noktasına göre, saldırganlar, kimlik avı mesajını teslim etmek için Ukrayna Silahlı Servis üyelerinin "muhtemelen tehlikeye giren" e-posta hesaplarını kullanırlar.
Araştırmacılar, gözlemledikleri kimlik avı saldırılarının yalnızca Avrupa hükümet kuruluşlarını hedef aldığını ve şimdilik, saldırıları belirli bir devlet destekli hackleme grubuna atfedemediklerini söylediler.
"Proofpoint, muhtemel bir Ukraynalı Silahlı Servis Kampanyası, Ukrayna'dan kaçan mültecilerin lojistiğinin yönetilmesine dahil olan Avrupa hükümet personelini hedeflemek için muhtemel bir Ukrayna Silahlı Hizmet Üyesi'nin e-posta hesabını kullanan bir ulus-devlet sponsorlu kimlik avı kampanyasını tanımladı" dedi.
"E-posta, bir LUA tabanlı bir kötü amaçlı yazılım indirmeyi deneyen kötü amaçlı bir makro eki," Sunseed, "Sunseed", "ikinci aşama yükü yüklenmesi için kullanılabilecek bir kötü amaçlı yazılım indiricisi içeriyordu.
Bununla birlikte, enfeksiyon zincirine dayanarak, araştırmacılar, kampanyanın Asylum Ambuscade olarak izlendiği kampanyanın, Ghostwriter Belarusça tehdit grubuna (TA445 veya UNC1151 olarak izlenen) ile ilişkilendirilen 2021 Temmuz'dan itibaren kimlik avı saldırılarına bağlı olduğunu söyledi.
GhostWriter, Kasım 2021'de Mandiantiant Security araştırmacılarının Belarus hükümetine kadar yüksek güvenle bağlandı.
Rusya'nın yedi gün önce Ukrayna'yı istila ettiğinden, bu tehdit grubu zaten Ukraynalılara karşı diğer saldırılarla bağlantılı.
Örneğin, Ukrayna'nın (CERT-UA) bilgisayar acil müdahale ekibi, Ghostwriter operatörleri, Ukraynalı askeri personelin özel e-posta hesaplarını ödün vermeye çalışan ve rehberlerine kimlik avı yapmak için "ilişkili bireylerin" ödün vermeye çalıştığı konusunda uyardı.
Pazartesi günü, Facebook'ta GhostWriter tarafından Ukrayna yetkililerinin hesaplarını ve askeri personelin platformundaki hesaplarını hedeflemek için kullanılan hesapları da aldı. Ayrıca, Ukrayna kullanıcılarının hesaplarını denemek ve tehlikeye atmak için kullanılan kimlik avı alanlarını engelledi.
"Özellik sonuçlarından bağımsız olarak bu faaliyet, Ukraynalı Askeri Hesapları, Rusya, vekilleri ve Ukrayna arasındaki silahlı bir çatışma süresi boyunca, Ukrayna askeri hesapları olan NATO varlıklarını hedefleme çabasını temsil ediyor", "Prova Noktası araştırmacıları sonuçlandı.
"Ek olarak, Avrupa'daki mülteci hareketleri etrafındaki zekanın dezenformasyon amaçları için sömürülmesi olasılığı, Rus ve Belarus-devlet tekniklerinin kanıtlanmış bir parçasıdır."
Ukrayna, Belarus hacker'larını askeri hedefleyen kimlik avına bağladı
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
META: Ukrayna yetkilileri, Ghostwriter hackerları tarafından hedeflenen askeri
Yeni solucan ve veri silecek kötü amaçlı yazılımlar Ukrayna ağlarına isabet etti
CISA ve FBI, potansiyel veri silme saldırılarını silerek
Kaynak: Bleeping Computer