Sukčiavimo kampanija skirta ES pareigūnams, dirbantiems su Ukrainos pabėgėliais

Tęsiantis karui Ukrainoje, saugumo tyrinėtojai atrado, kas atrodo kaip naujas slapto kibernetinio karo bandymas. Šį kartą grėsmės veikėjai nusitaikė į Europos Sąjungos darbuotojus ir pareigūnus, kurie dirba su Ukrainos pabėgėliais, pabėgančiais iš karo draskomos šalies.

Sukčiavimo ataka naudoja pažeistą el. paštą

Saugos įmonės „Proofpoint“ tyrėjai paskelbė ataskaitą apie išpuolį. „Proofpoint“ teigimu, „tikėtinas“ valstybės remiamas veikėjas nusitaiko į Europos vyriausybės pareigūnus, kurie dirba tvarkydami iš Ukrainos kylančią pabėgėlių bangą. Sukčiavimo ataka buvo įvykdyta naudojant Ukrainos kariuomenei priklausantį elektroninio pašto adresą, kurį anksčiau buvo sukompromitavęs grėsmės veikėjas.

Sukčiavimo el. laiške esantį naudingą apkrovą sudaro pridėtas „Excel“ failas, pavadintas „personų sąrašas.xlsx“, kuriame yra įterptos kenkėjiškos makrokomandos. Jei įvykdoma, makrokomanda bando patraukti kenkėjišką antrinį naudingąjį apkrovą, parašytą Lua ir pavadintą „SunSeed“. El. laiškas, iš kurio gaunami sukčiavimo pranešimai, priklauso Ukrainos kariuomenės nariui ir iš ukr.net pašto domeno.

Kalbant apie sukčiavimo el. laiškų socialinės inžinerijos aspektą, žinutė buvo su temos eilute „ATGAL 2022 02 24 UKRAINOS SAUGUMO TARYBOS NEATSIRTIESIOJO POSĖDŽIO SPRENDIMĄ“. Tai buvo susieta su nepaprastuoju NATO Saugumo Tarybos posėdžiu dieną prieš el. laiško pavadinime nurodytą datą. Kita vertus, priedo failo pavadinimas buvo skirtas Ukrainos taikinių „žudymo sąrašui“, kuris buvo paskelbtas vasario pabaigoje.

Kaip veikia SunSeed kenkėjiška programa

Naudingasis krovinys įdiegia daugybę Lua priklausomybių, tada vykdo kenkėjišką SunSeed Lua scenarijų ir galiausiai nustato patvarumą naudodamas .lnk failo nuorodą. Taip pat įdiegta modifikuota teisėto Lua kodo interpretatoriaus versija. Aptariamasis vertėjas vadinamas sppsvc.exe ir ši konkreti versija buvo modifikuota taip, kad ji nieko neperkeltų į „Windows“ konsolę, siekiant nuslėpti kenkėjiškos programos veiklą.

Nuorodų failas, naudojamas išlikimui, vadinamas Software Protection Service.lnk ir yra sukurtas ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

Nepaisant Proofpoint įsitikinimo, kad tai yra valstybės remiamas subjektas, nėra tvirtų įrodymų, rodančių kokią nors konkrečią grupę kokioje nors konkrečioje šalyje. Ši ataskaita parengta tuo metu, kai pranešama, kad daugiau nei milijonas ukrainiečių pabėgo iš šalies ir ieško prieglobsčio už Ukrainos sienų. Ukrainos pabėgėlių antplūdis netgi paskatino Japoniją, kuri tradiciškai turėjo itin mažas metines pabėgėlių kvotas, atverti sienas nuo karo bėgantiems žmonėms.