Phishing-kampagne rettet mod EU-embedsmænd, der arbejder med ukrainske flygtninge

Mens krigen i Ukraine fortsætter, opdagede sikkerhedsforskere, hvad der ligner et nyt forsøg på skjult cyberkrigsførelse. Denne gang var trusselsaktørerne rettet mod EU-personale og embedsmænd, der arbejder med ukrainske flygtninge, der flygter fra deres krigshærgede land.

Phishing-angreb bruger kompromitteret e-mail

Forskere med sikkerhedsfirmaet Proofpoint offentliggjorde en rapport om angrebet. Ifølge Proofpoint retter en "sandsynligvis" statsstøttet aktør sig mod europæiske regeringsembedsmænd, som arbejder på at håndtere flygtningebølgen, der kommer fra Ukraine. Phishing-angrebet blev udført ved hjælp af en e-mailadresse tilhørende det ukrainske militær, som tidligere er blevet kompromitteret af trusselsaktøren.

Nyttelasten indeholdt i phishing-e-mailen omfatter en vedhæftet Excel-fil med navnet "list of persons.xlsx", som har ondsindede makroer indlejret. Hvis den udføres, forsøger makroen at få fat i en ondsindet sekundær nyttelast skrevet i Lua og kaldet "SunSeed". E-mailen, som phishing-meddelelserne stammer fra, tilhører et medlem af det ukrainske militær og fra et ukr.net-maildomæne.

Når det kommer til det sociale ingeniørmæssige aspekt af phishing-e-mails, kom beskeden med emnelinjen "I OVERENSSTEMMELSE MED AFGØRELSEN FRA NØD-MØDET I UKRAINES SIKKERHEDSRÅD DAT 24.02.2022". Dette hænger sammen med det hastemøde, som NATO's Sikkerhedsråd holdt dagen før datoen i e-mailens titel. Vedhæftningens filnavn var på den anden side beregnet til at påkalde "dræbningslisten" over ukrainske mål, der kom i nyhederne i slutningen af februar.

Sådan fungerer SunSeed malware

Nyttelasten installerer en række Lua-afhængigheder, udfører derefter det ondsindede SunSeed Lua-script og opsætter til sidst persistens ved at bruge en genvej .lnk-fil. Der er også en modificeret version af en legitim Lua-kodefortolker installeret. Den pågældende fortolker hedder sppsvc.exe, og netop denne version er blevet ændret, så den ikke udsender noget til Windows-konsollen i et forsøg på at dække over malwarens aktivitet.

Genvejsfilen, der bruges til persistens, hedder Software Protection Service.lnk og er oprettet under ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

På trods af Proofpoints overbevisning om, at dette er en statsstøttet enhed, er der ingen hårde beviser, der peger på nogen specifik gruppe i noget specifikt land. Denne rapport kommer på et tidspunkt, hvor over en million ukrainere angiveligt er flygtet ud af landet og søger tilflugt uden for Ukraines grænser. Den ukrainske tilstrømning af flygtninge har endda fået Japan, som traditionelt havde ekstremt lave årlige flygtningekvoter, til at åbne sine grænser for mennesker, der flygter fra krigen.