Phishing-kampanj riktar sig till EU-tjänstemän som arbetar med ukrainska flyktingar

När kriget i Ukraina fortsätter upptäckte säkerhetsforskare vad som ser ut som ett nytt försök till hemlig cyberkrigföring. Den här gången riktade hotaktörerna sig på EU:s personal och tjänstemän som arbetar med ukrainska flyktingar som flyr från deras krigshärjade land.

Nätfiskeattack använder komprometterad e-post

Forskare med säkerhetsföretaget Proofpoint publicerade en rapport om attacken. Enligt Proofpoint riktar sig en "sannolikt" statsstödd aktör mot europeiska regeringstjänstemän som arbetar med att hantera flyktingvågen som kommer från Ukraina. Nätfiskeattacken utfördes med hjälp av en e-postadress som tillhör den ukrainska militären, som tidigare har äventyrats av hotaktören.

Nyttolasten i nätfiske-e-postmeddelandet består av en bifogad Excel-fil med namnet "list of persons.xlsx" som har skadliga makron inbäddade i den. Om det körs försöker makrot fånga en skadlig sekundär nyttolast skriven i Lua och kallad "SunSeed". E-postmeddelandet som nätfiskemeddelandena kommer från tillhör en medlem av den ukrainska militären och från en e-postdomän på ukr.net.

När det kommer till den sociala ingenjörskonsten av nätfiske-e-postmeddelanden kom meddelandet med ämnesraden "I ENLIGHET MED BESLUTET FRÅN EMERGENCE MEETING OF THE SECURITY CUNCIL OF UKRAINE DAT 24.02.2022". Detta var kopplat till det krismöte som Natos säkerhetsråd höll dagen före datumet i mejlets rubrik. Bilagans filnamn var å andra sidan avsett att åberopa "dödlistan" över ukrainska mål som kom upp på nyheterna i slutet av februari.

Hur SunSeed skadlig programvara fungerar

Nyttolasten installerar ett antal Lua-beroenden, exekverar sedan det skadliga SunSeed Lua-skriptet och ställer slutligen upp beständighet genom att använda en genvägs .lnk-fil. Det finns också en modifierad version av en legitim Lua-kodtolk installerad. Tolken i fråga heter sppsvc.exe och just den här versionen har modifierats så att den inte matar ut något till Windows-konsolen, i ett försök att dölja skadlig programvaras aktivitet.

Genvägsfilen som används för beständighet kallas Software Protection Service.lnk och skapas under ~\AppData\Roaming\Microsoft\Windows\Startmeny\Programs\Startup\.

Trots Proofpoints tro att detta är en statligt stödd enhet, finns det inga konkreta bevis som pekar på någon specifik grupp i något specifikt land. Denna rapport kommer vid en tidpunkt då över en miljon ukrainare enligt uppgift har flytt landet och söker skydd utanför Ukrainas gränser. Den ukrainska flyktingströmmen har till och med fått Japan, som traditionellt sett hade extremt låga årliga flyktingkvoter, att öppna sina gränser för människor som flyr från kriget.