Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), IcedID kötü amaçlı yazılımları dağıtan ve hassas bilgileri çalmak amacıyla Zimbra açıklarından yararlanan yeni bir sosyal mühendislik kampanyaları dalgası konusunda uyardı.
Ajans, IcedID kimlik avı saldırılarını UAC-0041 adlı bir tehdit kümesine atfeder. dedim enfeksiyon dizisi, açıldığında kullanıcılardan IcedID dağıtımına yol açan makroları etkinleştirmelerini isteyen bir Microsoft Excel belgesi (Мобілізаційний реєстр.xls veya Mobilization Register.xls) içeren bir e-posta ile başlar.
BokBot olarak da bilinen bilgi çalan kötü amaçlı yazılım, TrickBot, Emotet ve ZLoader’ınkine benzer bir yol izledi ve bankacılık truva atı olarak önceki köklerinden bir sonraki aşamanın alınmasını sağlayan tam teşekküllü bir suç yazılımı hizmetine dönüştü. fidye yazılımı gibi implantlar.
bu ikinci hedefli izinsiz girişler grubu UAC-0097 adlı yeni bir tehdit grubuyla ilgilidir ve e-posta, bir dizi resim eki içerir. İçerik-Konum bir Zimbra siteler arası komut dosyası çalıştırma güvenlik açığından yararlanmayı etkinleştiren bir JavaScript kodu parçasını barındıran uzak bir sunucuya işaret eden üstbilgi (CVE-2018-6882).
Saldırı zincirinin son adımında, enjekte edilen sahte JavaScript, kurbanların e-postalarını tehdit aktörünün kontrolü altındaki bir e-posta adresine iletmek için kullanılır ve bu bir siber casusluk kampanyasını gösterir.
Saldırılar, yılın başından beri Ukrayna’yı hedef alan kötü niyetli siber faaliyetlerin devamı niteliğinde. Son zamanlarda, CERT-UA, ülkedeki isimsiz bir enerji sağlayıcısının operasyonlarını sabote etmek için Rus düşmanları tarafından yapılan bir siber saldırıyı engellediğini de açıkladı.