Phishing-campagne richt zich op EU-functionarissen die werken met Oekraïense vluchtelingen

Terwijl de oorlog in Oekraïne voortduurt, ontdekten beveiligingsonderzoekers wat lijkt op een nieuwe poging tot geheime cyberoorlogvoering. Deze keer richtten de dreigingsactoren zich op medewerkers en functionarissen van de Europese Unie die werken met Oekraïense vluchtelingen die hun door oorlog verscheurde land ontvluchten.

Phishing-aanval maakt gebruik van gecompromitteerde e-mail

Onderzoekers van beveiligingsbedrijf Proofpoint publiceerden een rapport over de aanval. Volgens Proofpoint richt een "waarschijnlijke" door de staat gesteunde actor zich op Europese regeringsfunctionarissen die werken aan het omgaan met de vluchtelingengolf die uit Oekraïne komt. De phishing-aanval werd uitgevoerd met behulp van een e-mailadres van het Oekraïense leger, dat eerder is gehackt door de dreigingsactor.

De payload in de phishing-e-mail bestaat uit een bijgevoegd Excel-bestand met de naam "list of person.xlsx" waarin kwaadaardige macro's zijn ingesloten. Indien uitgevoerd, probeert de macro een kwaadaardige secundaire payload te pakken die is geschreven in Lua en "SunSeed" wordt genoemd. De e-mail waaruit de phishing-berichten afkomstig zijn, is van een lid van het Oekraïense leger en van een ukr.net-maildomein.

Als het gaat om het social engineering-aspect van de phishing-e-mails, kwam het bericht met de onderwerpregel "IN OVEREENSTEMMING MET HET BESLUIT VAN DE NOODVERGADERING VAN DE VEILIGHEIDSRAAD VAN OEKRANE VAN 24.02.2022". Dit hing samen met de spoedvergadering van de NAVO-Veiligheidsraad op de dag voorafgaand aan de datum in de titel van de e-mail. De bestandsnaam van de bijlage was daarentegen bedoeld om de "kill list" van Oekraïense doelen op te roepen die eind februari het nieuws haalden.

Hoe de SunSeed-malware werkt

De payload installeert een aantal Lua-afhankelijkheden, voert vervolgens het kwaadaardige SunSeed Lua-script uit en stelt uiteindelijk persistentie in door het gebruik van een snelkoppeling.lnk-bestand. Er is ook een aangepaste versie van een legitieme Lua-code-interpreter geïnstalleerd. De interpreter in kwestie heet sppsvc.exe en deze specifieke versie is aangepast zodat deze niets naar de Windows-console stuurt, in een poging om de malware-activiteit te verdoezelen.

Het snelkoppelingsbestand dat voor persistentie wordt gebruikt, heet Software Protection Service.lnk en is gemaakt onder ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

Ondanks de overtuiging van Proofpoint dat dit een door de staat gesteunde entiteit is, is er geen hard bewijs dat wijst op een specifieke groep in een specifiek land. Dit rapport komt op een moment dat naar verluidt meer dan een miljoen Oekraïners het land zijn ontvlucht en hun toevlucht zoeken buiten de grenzen van Oekraïne. De Oekraïense toestroom van vluchtelingen heeft er zelfs toe geleid dat Japan, dat traditioneel extreem lage jaarlijkse vluchtelingenquota had, zijn grenzen heeft geopend voor mensen die op de vlucht zijn voor de oorlog.