Kampania phishingowa skierowana na urzędników UE współpracujących z ukraińskimi uchodźcami

Podczas gdy wojna na Ukrainie trwa, badacze bezpieczeństwa odkryli coś, co wygląda na nową próbę tajnej cyberwojny. Tym razem cyberprzestępcy zaatakowali personel i urzędników Unii Europejskiej, którzy pracują z ukraińskimi uchodźcami uciekającymi z rozdartego wojną kraju.

Atak phishingowy wykorzystuje zhakowaną pocztę e-mail

Badacze z firmy zajmującej się bezpieczeństwem Proofpoint opublikowali raport na temat ataku. Według Proofpoint, „prawdopodobnie” wspierany przez państwo aktor atakuje europejskich urzędników rządowych, którzy pracują nad uporaniem się z falą uchodźców napływającą z Ukrainy. Atak phishingowy został przeprowadzony przy użyciu adresu e-mail należącego do ukraińskiego wojska, który wcześniej został skompromitowany przez cyberprzestępcę.

Ładunek zawarty w wiadomości phishingowej zawiera załączony plik Excela o nazwie „lista osób.xlsx”, w którym osadzone są złośliwe makra. Po wykonaniu makro próbuje pobrać złośliwy dodatkowy ładunek napisany w Lua i nazwany „SunSeed”. Wiadomość e-mail, z której pochodzą wiadomości phishingowe, należy do członka ukraińskiego wojska i z domeny pocztowej ukr.net.

Jeśli chodzi o socjotechniczny aspekt wiadomości phishingowych, wiadomość została opatrzona tytułem „ZGODNIE Z DECYZJĄ ZGROMADZENIA RATUNKOWEGO RADY BEZPIECZEŃSTWA UKRAINY Z DNIA 24.02.2022”. Wiązało się to z nadzwyczajnym spotkaniem Rady Bezpieczeństwa NATO w dniu poprzedzającym datę podaną w tytule e-maila. Z drugiej strony, nazwa pliku załącznika miała odwoływać się do „listy zabójstw” ukraińskich celów, które pojawiły się w wiadomościach pod koniec lutego.

Jak działa malware SunSeed

Ładunek instaluje szereg zależności Lua, następnie wykonuje złośliwy skrypt SunSeed Lua, a na koniec ustawia trwałość za pomocą skrótu pliku .lnk. Zainstalowana jest również zmodyfikowana wersja legalnego interpretera kodu Lua. Interpreter, o którym mowa, nazywa się sppsvc.exe, a ta konkretna wersja została zmodyfikowana tak, aby nie wyświetlała niczego do konsoli Windows, aby ukryć aktywność szkodliwego oprogramowania.

Plik skrótu używany do utrwalania nosi nazwę Software Protection Service.lnk i jest tworzony w katalogu ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

Pomimo przekonania Proofpoint, że jest to podmiot wspierany przez państwo, nie ma twardych dowodów wskazujących na jakąkolwiek konkretną grupę w jakimkolwiek konkretnym kraju. Raport ten pojawia się w czasie, gdy ponad milion Ukraińców podobno uciekło z kraju i szuka schronienia poza granicami Ukrainy. Napływ uchodźców z Ukrainy skłonił nawet Japonię, która tradycyjnie miała wyjątkowo niskie roczne kontyngenty uchodźców, do otwarcia granic dla osób uciekających przed wojną.