Az adathalász kampány az ukrán menekültekkel dolgozó EU-tisztviselőket célozza meg

Ahogy az ukrajnai háború folytatódik, a biztonsági kutatók felfedezték, hogy a titkos kiberhadviselés új kísérletének tűnik. Ezúttal a fenyegetőzők az Európai Unió munkatársait és tisztviselőit vették célba, akik a háború sújtotta országukból szökött ukrán menekültekkel dolgoznak.

Az adathalász támadás feltört e-maileket használ

A Proofpoint biztonsági cég kutatói jelentést tettek közzé a támadásról. A Proofpoint szerint egy "valószínűleg" államilag támogatott szereplő olyan európai kormánytisztviselőket céloz meg, akik az Ukrajnából érkező menekülthullám kezelésén dolgoznak. Az adathalász támadást az ukrán hadsereghez tartozó e-mail címen hajtották végre, amelyet korábban a fenyegetőző feltört.

Az adathalász e-mailben található hasznos adat egy csatolt Excel-fájlból áll, melynek neve "persons.xlsx" és rosszindulatú makrók vannak beágyazva. Ha végrehajtják, a makró megpróbálja megragadni a Lua nyelven írt, "SunSeed" nevű rosszindulatú másodlagos rakományt. Az e-mail, amelyről az adathalász üzenetek származnak, az ukrán hadsereg egyik tagjához tartozik, és egy ukr.net levelezési domainről származik.

Ami az adathalász e-mailek social engineering vonatkozását illeti, az üzenet tárgysora „AZ UKRAJNA BIZTONSÁGI TANÁCS 2022. 02. 24-I SZÜKSÉGES ÜLÉSÉNEK HATÁROZATÁNAK SZERINT” volt. Ez összefügg a NATO Biztonsági Tanácsa rendkívüli ülésével, amelyet az e-mail címében szereplő dátumot megelőző napon tartott. A melléklet fájlnevének viszont az volt a célja, hogy megidézze az ukrán célpontok "gyilkoslistáját", amely február végén jelent meg.

Hogyan működik a SunSeed rosszindulatú program

A rakomány számos Lua-függőséget telepít, majd végrehajtja a rosszindulatú SunSeed Lua szkriptet, végül pedig egy .lnk parancsikon segítségével beállítja a tartósságot. Telepítve van egy legitim Lua kódértelmező módosított verziója is. A szóban forgó tolmács neve sppsvc.exe, és ezt a verziót úgy módosították, hogy ne adjon ki semmit a Windows konzolra, ezzel próbálva elfedni a kártevő tevékenységét.

A fennmaradás érdekében használt parancsikon fájl neve Software Protection Service.lnk, és a ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ alatt jön létre.

Annak ellenére, hogy a Proofpoint úgy véli, hogy ez egy államilag támogatott entitás, nincs olyan szilárd bizonyíték, amely egy adott országban konkrét csoportra utalna. Ez a jelentés akkor készült, amikor állítólag több mint egymillió ukrán menekült el az országból, és Ukrajna határain túl keresnek menedéket. Az ukrán menekültáradat még a hagyományosan rendkívül alacsony éves menekültkvótával rendelkező Japánt is arra késztette, hogy megnyissa határait a háború elől menekülők előtt.