Phishing-kampanje retter seg mot EU-tjenestemenn som jobber med ukrainske flyktninger

Mens krigen i Ukraina fortsetter, oppdaget sikkerhetsforskere det som ser ut som et nytt forsøk på skjult cyberkrigføring. Denne gangen var trusselaktørene rettet mot EU-ansatte og tjenestemenn som jobber med ukrainske flyktninger som rømmer fra deres krigsherjede land.

Phishing-angrep bruker kompromittert e-post

Forskere med sikkerhetsfirmaet Proofpoint publiserte en rapport om angrepet. Ifølge Proofpoint retter en «sannsynlig» statsstøttet aktør seg mot europeiske myndighetspersoner som jobber med å håndtere flyktningbølgen som kommer fra Ukraina. Phishing-angrepet ble utført ved hjelp av en e-postadresse som tilhører det ukrainske militæret, som tidligere har blitt kompromittert av trusselaktøren.

Nyttelasten i phishing-e-posten består av en vedlagt Excel-fil kalt "list of persons.xlsx" som har ondsinnede makroer innebygd. Hvis den utføres, prøver makroen å fange en ondsinnet sekundær nyttelast skrevet i Lua og kalt "SunSeed". E-posten som phishing-meldingene stammer fra, tilhører et medlem av det ukrainske militæret og fra et ukr.net-e-postdomene.

Når det kommer til det sosiale ingeniøraspektet ved phishing-e-postene, kom meldingen med emnelinjen "I OVERENSSTEMMELSE MED BESLUTNING I NØDMØTET I SIKKERHETSRÅDET I UKRAINA DATERT 24.02.2022". Dette var knyttet til krisemøtet holdt av NATOs sikkerhetsråd dagen før datoen i e-postens tittel. Vedleggets filnavn, på den annen side, var ment å påkalle "drap-listen" over ukrainske mål som kom opp i nyhetene i slutten av februar.

Hvordan SunSeed malware fungerer

Nyttelasten installerer en rekke Lua-avhengigheter, kjører deretter det ondsinnede SunSeed Lua-skriptet, og setter til slutt opp utholdenhet ved bruk av en snarvei .lnk-fil. Det er også installert en modifisert versjon av en legitim Lua-kodetolk. Den aktuelle tolken heter sppsvc.exe, og denne versjonen har blitt modifisert slik at den ikke sender ut noe til Windows-konsollen, i et forsøk på å dekke over aktiviteten til skadelig programvare.

Snarveisfilen som brukes for utholdenhet kalles Software Protection Service.lnk og er opprettet under ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

Til tross for Proofpoints tro på at dette er en statsstøttet enhet, er det ingen harde bevis som peker på noen spesifikk gruppe i et bestemt land. Denne rapporten kommer på et tidspunkt da over en million ukrainere angivelig har flyktet fra landet og søker tilflukt utenfor Ukrainas grenser. Den ukrainske tilstrømningen av flyktninger har til og med fått Japan, som tradisjonelt hadde ekstremt lave årlige flyktningkvoter, til å åpne sine grenser for mennesker på flukt fra krigen.