Эта вредоносная кампания нацелена на военных с поддельными электронными письмами от оборонного подрядчика

Фишинг-атаки на Украину являются частью кибершпионажной кампании группы с мощными возможностями.

Украинское правительство и военные подвергаются фишинг-атакам в рамках операции кибершпионажа, основанной на удалении мощных вредоносных программ.

Безопасность

Об этих фишинговых атаках подробно рассказали исследователи из компании по кибербезопасности FireEye, которые выявили вредоносные электронные письма, отправляемые в украинские военные ведомства в январе этого года. Вредоносное ПО отправляется, предположительно, с целью мониторинга информации о военных и политических интересах украинского правительства.

Вредоносные электронные письма, отправленные с темой SPEC-20T-MK2-000-ISS-4.10-09-2018STANDARD, предположительно принадлежали британскому производителю военной техники, и утверждают, что они следуют предыдущей встрече, и предлагали развитие сотрудничества с украинскими партнерами.

Отправившим электронное письмо предлагается загрузить вложение с именем Armtrac-Commercial.7z, которое затем загружает ZIP-файл, содержимое которого представляет собой два документа Word и вредоносный файл LNK. ярлык, используемый Windows в качестве ссылки на оригинал. файл, но с поддельным расширением для олицетворения файла PDF и замаскированный под значок Microsoft Word.

Это, в свою очередь, использует сценарий PowerShell для загрузки полезной нагрузки второго уровня с командно-контрольного сервера для удаления вредоносного ПО на целевой компьютер с целью мониторинга и кражи конфиденциальной информации в сетях украинских военных.

Наблюдается развертывание ряда различных полезных нагрузок, включая семейства троянских программ с открытым исходным кодом, такие как QuasarRAT и RatVermin. Некоторые из этих вредоносных программ невероятно мощны, обеспечивая защиту от зараженных систем, а также доступ к паролям и другой конфиденциальной информации.

Украинское правительство регулярно оказывается на грани кибератак, но, как полагают, за этой кампанией стоит основной фактор, нацеленный почти исключительно на страну.

УВИДЕТЬ: Выигрышная стратегия кибербезопасности (Специальный отчет ZDNet) | Скачать отчет в формате PDF (TechRepublic)

Исследователи подозревают, что эта атака проводится группой, базирующейся в Луганской Народной Республике (ЛНР), которая провозгласила независимость после политических потрясений в 2014 году. Хотя эта группа не обладает властью национального государства, эта кампания демонстрирует, как меньшие группы могут доступ к сложным, развивающимся атакам вредоносных программ.

В то время как кибершпионаж регулярно используется в качестве инструмента государственной власти, эта возможность не ограничивается штатами, заявил ZDNet директор аналитического анализа FireEye Джон Хультквист.

Он также добавил, что так же, как новые государственные субъекты постоянно привлекаются к этой практике, многие субъекты из других штатов неизбежно будут также развивать возможности, особенно те, которые располагают ресурсами государственного спонсора или номинального контроля над территорией.

Исследователи предупреждают, что атаки все еще продолжаются, и что злоумышленники продолжают развивать свои операции и развиваются в рамках того, что описывается как высоко интерактивный подход к кампаниям. Список индикаторов компромисса был опубликован в техническом анализе кампании FireEye.