Фишинговая кампания нацелена на чиновников ЕС, работающих с украинскими беженцами

Поскольку война в Украине продолжается, исследователи безопасности обнаружили то, что выглядит как новая попытка скрытой кибервойны. На этот раз злоумышленники нацелились на сотрудников и чиновников Европейского Союза, которые работают с украинскими беженцами, спасающимися из раздираемой войной страны.

Фишинговая атака использует скомпрометированную электронную почту

Исследователи охранной компании Proofpoint опубликовали отчет об атаке. Согласно Proofpoint, «вероятно» поддерживаемый государством субъект нацелен на чиновников европейского правительства, которые работают над тем, чтобы справиться с волной беженцев, прибывающих из Украины. Фишинговая атака была осуществлена с использованием адреса электронной почты, принадлежащего украинским военным, который ранее был скомпрометирован злоумышленником.

Полезная нагрузка, содержащаяся в фишинговом электронном письме, представляет собой вложенный файл Excel с именем «list of person.xlsx», в который встроены вредоносные макросы. При выполнении макрос пытается захватить вредоносную вторичную полезную нагрузку, написанную на Lua и называемую «SunSeed». Электронная почта, с которой исходят фишинговые сообщения, принадлежит военнослужащему Украины и принадлежит почтовому домену ukr.net.

Что касается социально-инженерного аспекта фишинговых писем, то письмо пришло с темой «В СООТВЕТСТВИИ С РЕШЕНИЕМ ЭКСТРЕННОГО ЗАСЕДАНИЯ СОВЕТА БЕЗОПАСНОСТИ УКРАИНЫ ОТ 24.02.2022». Это было связано с экстренным заседанием, проведенным Советом Безопасности НАТО за день до даты, указанной в заголовке электронного письма. С другой стороны, имя файла вложения должно было вызвать «список уничтоженных» украинских целей, который попал в новости в конце февраля.

Как работает вредоносное ПО SunSeed

Полезная нагрузка устанавливает ряд зависимостей Lua, затем выполняет вредоносный Lua-скрипт SunSeed и, наконец, настраивает сохраняемость с помощью ярлыка .lnk-файла. Также установлена модифицированная версия законного интерпретатора кода Lua. Рассматриваемый интерпретатор называется sppsvc.exe, и эта конкретная версия была изменена таким образом, что он ничего не выводит на консоль Windows, чтобы скрыть активность вредоносного ПО.

Файл ярлыка, используемый для сохранения, называется Software Protection Service.lnk и создается в папке ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

Несмотря на уверенность Proofpoint в том, что это организация, поддерживаемая государством, нет веских доказательств, указывающих на какую-либо конкретную группу в какой-либо конкретной стране. Этот отчет появился в то время, когда, как сообщается, более миллиона украинцев бежали из страны и ищут убежища за пределами Украины. Приток украинских беженцев даже побудил Японию, которая традиционно имела чрезвычайно низкие ежегодные квоты на прием беженцев, открыть свои границы для людей, спасающихся от войны.