L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a mis en garde contre une nouvelle vague de campagnes d’ingénierie sociale diffusant des logiciels malveillants IcedID et exploitant les exploits de Zimbra dans le but de voler des informations sensibles.
Attribuant les attaques de phishing IcedID à un cluster de menaces nommé UAC-0041, l’agence mentionné la séquence d’infection commence par un e-mail contenant un document Microsoft Excel (Мобілізаційний реєстр.xls ou Mobilization Register.xls) qui, une fois ouvert, invite les utilisateurs à activer les macros, conduisant au déploiement d’IcedID.
Le logiciel malveillant voleur d’informations, également connu sous le nom de BokBot, a suivi une trajectoire similaire à celle de TrickBot, Emotet et ZLoader, évoluant de ses racines antérieures en tant que cheval de Troie bancaire à un service de logiciel criminel à part entière qui facilite la récupération de la prochaine étape implants tels que les rançongiciels.
Le deuxième série d’intrusions ciblées concernent un nouveau groupe de menaces surnommé UAC-0097, avec l’e-mail comprenant un certain nombre de pièces jointes d’image avec un Contenu-Emplacement en-tête pointant vers un serveur distant hébergeant un morceau de code JavaScript qui active un exploit pour une vulnérabilité de script intersite Zimbra (CVE-2018-6882).
Dans la dernière étape de la chaîne d’attaque, le code JavaScript malveillant injecté est utilisé pour transférer les e-mails des victimes vers une adresse e-mail sous le contrôle de l’auteur de la menace, indiquant une campagne de cyberespionnage.
Les incursions s’inscrivent dans la continuité des cyberactivités malveillantes ciblant l’Ukraine depuis le début de l’année. Récemment, le CERT-UA a également révélé qu’il avait déjoué une cyberattaque par des adversaires russes pour saboter les opérations d’un fournisseur d’énergie anonyme dans le pays.