Minstens drie verschillende APT-groepen (Advanced Persistent Threat) van over de hele wereld hebben medio maart 2022 spear-phishing-campagnes gelanceerd met behulp van de aanhoudende Russisch-Oekraïense oorlog als lokmiddel om malware te verspreiden en gevoelige informatie te stelen.
De campagnes, uitgevoerd door El Machete, Lyceum en SideWinder, waren gericht op verschillende sectoren, waaronder energie, financiële en overheidssectoren in Nicaragua, Venezuela, Israël, Saoedi-Arabië en Pakistan.
“De aanvallers gebruiken lokvogels variërend van officieel ogende documenten tot nieuwsartikelen of zelfs vacatures, afhankelijk van het doelwit en de regio”, aldus Check Point Research. zei in een rapport. “Veel van deze lokdocumenten maken gebruik van kwaadaardige macro’s of sjablooninjectie om een eerste voet aan de grond te krijgen in de beoogde organisaties en vervolgens malware-aanvallen uit te voeren.”
De infectieketens van El Macheteeen Spaanssprekende dreigingsactor die voor het eerst werd gedocumenteerd in augustus 2014 door Kaspersky, omvat het gebruik van macro-geregen lokdocumenten om een open-source trojan voor externe toegang genaamd Loki.Rat die in staat is om toetsaanslagen, referenties en klembordgegevens te verzamelen, evenals bestandsbewerkingen uit te voeren en willekeurige opdrachten uit te voeren.
Een tweede campagne is van de Iraanse APT-groep bekend als Lyceum, die volgens Check Point een phishing-aanval lanceerde met behulp van een e-mail die zogenaamd over “Russische oorlogsmisdaden in Oekraïne” zou gaan om first-stage .NET- en Golang-droppers te leveren, die vervolgens worden gebruikt om een backdoor voor het uitvoeren van bestanden die zijn opgehaald van een externe server.
Een ander voorbeeld is SideWinder, een door de staat gesponsorde bemanning die naar verluidt opereert ter ondersteuning van Indiase politieke belangen en met een specifieke focus op zijn buurlanden China en Pakistan. De aanvalsreeks maakt in dit geval gebruik van een bewapend document dat misbruik maakt van de Equation Editor-fout in Microsoft Office (CVE-2017-11882) om malware te verspreiden die informatie steelt.
De bevindingen weerspiegelen soortgelijke waarschuwingen van Google’s Threat Analysis Group (TAG), die onthulde dat door de staat gesteunde dreigingsgroepen uit Iran, China, Noord-Korea en Rusland en tal van andere criminele en financieel gemotiveerde actoren oorlogsgerelateerde thema’s gebruiken bij phishing campagnes, online afpersingspogingen en andere kwaadaardige activiteiten.
“Hoewel de aandacht van het publiek meestal niet voor een langere periode bij een enkel probleem blijft, vormt de Russisch-Oekraïense oorlog een duidelijke uitzondering”, aldus het Israëlische bedrijf. “Deze oorlog treft meerdere regio’s over de hele wereld en heeft mogelijk verstrekkende gevolgen. Als gevolg hiervan kunnen we verwachten dat APT-dreigingsactoren deze crisis zullen blijven gebruiken om gerichte phishing-campagnes voor spionagedoeleinden uit te voeren.”
