Η εκστρατεία phishing στοχεύει αξιωματούχους της ΕΕ που συνεργάζονται με Ουκρανούς πρόσφυγες

Καθώς ο πόλεμος στην Ουκρανία συνεχίζεται, ερευνητές ασφαλείας ανακάλυψαν κάτι που μοιάζει με μια νέα απόπειρα μυστικού πολέμου στον κυβερνοχώρο. Αυτή τη φορά, οι παράγοντες της απειλής στόχευσαν το προσωπικό και τους αξιωματούχους της Ευρωπαϊκής Ένωσης που εργάζονται με Ουκρανούς πρόσφυγες που δραπετεύουν από τη χώρα τους που έχει καταρρεύσει από τον πόλεμο.

Η επίθεση phishing χρησιμοποιεί παραβιασμένο email

Ερευνητές της εταιρείας ασφαλείας Proofpoint δημοσίευσαν μια αναφορά για την επίθεση. Σύμφωνα με το Proofpoint, ένας «πιθανός» υποστηριζόμενος από το κράτος στοχεύει αξιωματούχους της ευρωπαϊκής κυβέρνησης που εργάζονται για τη διαχείριση του προσφυγικού κύματος που προέρχεται από την Ουκρανία. Η επίθεση phishing πραγματοποιήθηκε χρησιμοποιώντας μια διεύθυνση ηλεκτρονικού ταχυδρομείου που ανήκει στον ουκρανικό στρατό, η οποία είχε προηγουμένως παραβιαστεί από τον παράγοντα της απειλής.

Το ωφέλιμο φορτίο που περιέχεται στο email ηλεκτρονικού ψαρέματος περιλαμβάνει ένα συνημμένο αρχείο Excel με το όνομα "list of personas.xlsx" το οποίο έχει ενσωματωμένες κακόβουλες μακροεντολές. Εάν εκτελεστεί, η μακροεντολή προσπαθεί να αρπάξει ένα κακόβουλο δευτερεύον ωφέλιμο φορτίο γραμμένο σε Lua και ονομάζεται "SunSeed". Το email από το οποίο προέρχονται τα μηνύματα ηλεκτρονικού ψαρέματος ανήκει σε μέλος του ουκρανικού στρατού και από έναν τομέα αλληλογραφίας ukr.net.

Όσον αφορά την πτυχή της κοινωνικής μηχανικής των μηνυμάτων ηλεκτρονικού ψαρέματος, το μήνυμα ήρθε με θέμα "ΣΥΜΦΩΝΑ ΜΕ ΤΗΝ ΑΠΟΦΑΣΗ ΤΗΣ ΕΚΤΑΚΤΗΣ ΣΥΝΕΔΡΙΑΣΗΣ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ ΑΣΦΑΛΕΙΑΣ ΤΗΣ ΟΥΚΡΑΝΙΑΣ ΤΗΣ 24.02.2022". Αυτό συνδυάστηκε με την έκτακτη συνεδρίαση που πραγματοποιήθηκε από το Συμβούλιο Ασφαλείας του ΝΑΤΟ την ημέρα που προηγήθηκε της ημερομηνίας στον τίτλο του email. Το όνομα αρχείου του συνημμένου, από την άλλη πλευρά, προοριζόταν να επικαλεστεί τη "λίστα δολοφονίας" των Ουκρανών στόχων που έγινε η είδηση στα τέλη Φεβρουαρίου.

Πώς λειτουργεί το κακόβουλο λογισμικό SunSeed

Το ωφέλιμο φορτίο εγκαθιστά έναν αριθμό εξαρτήσεων Lua, στη συνέχεια εκτελεί το κακόβουλο σενάριο SunSeed Lua και, τέλος, ρυθμίζει την επιμονή μέσω της χρήσης ενός αρχείου συντόμευσης .lnk. Υπάρχει επίσης εγκατεστημένη μια τροποποιημένη έκδοση ενός νόμιμου διερμηνέα κώδικα Lua. Ο εν λόγω διερμηνέας ονομάζεται sppsvc.exe και η συγκεκριμένη έκδοση έχει τροποποιηθεί ώστε να μην βγάζει τίποτα στην κονσόλα των Windows, σε μια προσπάθεια να καλύψει τη δραστηριότητα του κακόβουλου λογισμικού.

Το αρχείο συντόμευσης που χρησιμοποιείται για επιμονή ονομάζεται Software Protection Service.lnk και δημιουργείται στο ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

Παρά την πεποίθηση της Proofpoint ότι πρόκειται για μια οντότητα που υποστηρίζεται από το κράτος, δεν υπάρχουν αδιάσειστα στοιχεία που να δείχνουν κάποια συγκεκριμένη ομάδα σε οποιαδήποτε συγκεκριμένη χώρα. Αυτή η έκθεση έρχεται σε μια στιγμή που πάνω από ένα εκατομμύριο Ουκρανοί φέρεται να έχουν εγκαταλείψει τη χώρα και αναζητούν καταφύγιο πέρα από τα σύνορα της Ουκρανίας. Η εισροή προσφύγων από την Ουκρανία ώθησε ακόμη και την Ιαπωνία, η οποία παραδοσιακά είχε εξαιρετικά χαμηλές ετήσιες ποσοστώσεις προσφύγων, να ανοίξει τα σύνορά της για τους ανθρώπους που φεύγουν από τον πόλεμο.