Er zijn details onthuld van een nieuwe door de staat gesponsorde phishing-campagne die zijn zinnen heeft gezet op Europese overheidsinstanties in wat wordt gezien als een poging om informatie te verkrijgen over vluchtelingen- en bevoorradingsbewegingen in de regio.
Enterprise-beveiligingsbedrijf Proofpoint, dat de kwaadaardige e-mails voor het eerst op 24 februari 2022 ontdekte, noemde de social engineering-aanvallen “Asiel Ambuscade.”
“De e-mail bevatte een kwaadaardige macro-bijlage waarin gebruik werd gemaakt van social engineering-thema’s met betrekking tot de noodvergadering van de NAVO-Veiligheidsraad op 23 februari 2022”, onderzoekers Michael Raggi en Zydeca Cass zei in een dinsdag gepubliceerd rapport.
“De e-mail bevatte ook een kwaadaardige bijlage die probeerde kwaadaardige Lua-malware genaamd SunSeed te downloaden en gericht was op Europees overheidspersoneel dat belast is met het beheer van transport en bevolkingsbewegingen in Europa.”
De bevindingen bouwen voort op een adviserend uitgegeven door de Staatsdienst voor Speciale Communicatie en Informatiebescherming van Oekraïne (DSSZZI), die vorige week waarschuwde voor phishing-berichten gericht op zijn militair personeel met ZIP-bestandsbijlagen met als doel gevoelige persoonlijke informatie te stelen.
Proofpoint weigerde de nieuw geobserveerde campagne toe te schrijven aan een specifieke dreigingsactor, maar merkte op dat de overlappingen in de tijdlijn van de twee reeksen aanvallen, de gebruikte phishing-lokmiddelen en de slachtofferpatronen overeenkomen met die van een Wit-Russische natiestaatgroep genaamd UNC1151 (ook bekend als TA445 of Ghostwriter).
Een van de opvallende aspecten van Asylum Ambuscade is het waarschijnlijke gebruik van het e-mailaccount van een gecompromitteerd Oekraïens lid van de strijdkrachten om e-mailberichten met malware uit te zenden die een macro-enabled XLS-bestand bevatten dat SunSeed aflevert op geïnfecteerde hosts, wat impliceert dat de nieuwste campagne mogelijk een voortzetting van deze aanvallen.
“De social engineering-lokmiddelen die in deze phishing-campagne werden gebruikt, kwamen op het juiste moment, na een NAVO-Veiligheidsraad vergadering op 23 februari 2022 en een nieuwsbericht over een ‘dodenlijst’ van de Russische regering gericht op Oekraïners die begon te circuleren in Westers Media outlets op 21 februari 2022″, merkten de onderzoekers op.
SunSeed, van zijn kant, functioneert als een downloader die communicatie tot stand brengt met een door een acteur bestuurde server om payloads van de volgende fase op te halen voor uitvoering.
Het in Sunnyvale gevestigde cyberbeveiligingsbedrijf merkte op dat de aanvallen specifiek gericht waren op individuen die verantwoordelijk waren voor transport, financiële en budgettoewijzing, administratie en bevolkingsbewegingen binnen Europa.
De onthulling komt als de intensivering van de militaire invasie van Oekraïne door Rusland gepolariseerd cyberspace, met hacktivisten, cybercriminelen, white hat-onderzoekers en technologiebedrijven die een kant kiezen in het conflict.
In een aparte update die eerder vandaag werd gepost, heeft het Oekraïense Computer Emergency Response Team (CERT-UA) beschreven de voortdurende ontwikkelingen als een “informatie- en psychologische oorlog”, die mensen in het land aanspoort om hun accounts zorgvuldig te controleren op niet-herkende apparaten, tweefactorauthenticatie in te schakelen en end-to-end versleutelde berichten-apps te gebruiken.
Wat meer is, e-mailbeveiligingsbedrijf Avanan zei het was getuige van een achtvoudige toename van e-mailaanvallen afkomstig uit Rusland vanaf 27 februari, waarvan tenminste enkele gericht waren op productie-, internationale scheepvaart- en transportbedrijven in de VS en Europa.
“In het licht van de aanhoudende oorlog tussen Rusland en Oekraïne, zullen acties van proxy-actoren zoals TA445 zich blijven richten op Europese regeringen om informatie te verzamelen over de verplaatsing van vluchtelingen uit Oekraïne en over kwesties die van belang zijn voor de Russische regering”, aldus de onderzoekers.
