Ukraina inriktat på rysk desinformation och datainsamlingsattack

Säkerhetsforskare har upptäckt en ny "inflytandeoperation" riktad mot Ukraina som använder skräppost för att sprida desinformation relaterad till kriget. Aktiviteten, känd som Operation Texonto, har kopplats till hotaktörer i linje med Ryssland.

I oktober 2023 syftade en spjutfiskekampanj riktad mot ett ukrainskt försvarsföretag och en EU-byrå att samla in Microsofts inloggningsuppgifter med hjälp av falska målsidor, med likheter med hotaktören COLDRIVER.

Operation Texonto utvecklades i två vågor i november och december 2023, med hjälp av e-postmeddelanden med PDF-bilagor som diskuterade uppvärmningsavbrott, drogbrist och livsmedelsbrist. Novembervågen fokuserade på hundratals mottagare i Ukraina, inklusive statliga enheter, energibolag och privatpersoner.

Desinformation och mörka förslag från de ryska hackarna

E-postmeddelandena skickades från en domän som låtsades vara Ukrainas ministerium för jordbrukspolitik och livsmedel, med innehåll om drogbrist med hjälp av logotypen för Ukrainas hälsoministerium, vilket indikerar en potentiell tillsyn av angriparna.

Den andra vågen, som började den 25 december 2023, utökade sitt mål utanför Ukraina till att omfatta ukrainsktalande i andra europeiska länder. Samtidigt som de önskade mottagarna en trevlig semester, tog dessa meddelanden en mörkare vändning, och föreslog att mottagarna skulle amputera en arm eller ett ben för att undvika militär utplacering, med ett oroande uttalande som uppmuntrade ett "lyckligt liv" efter en kort stund av smärta.

Märkligt nog användes samma e-postserver senare för att sprida ett apoteksbedrägeri. Det misstänks att hotaktörer valde att tjäna pengar på sin infrastruktur för ekonomisk vinning efter att ha insett att deras domäner hade upptäckts av försvarare.