Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft gewaarschuwd voor een nieuwe golf van social engineering-campagnes die IcedID-malware leveren en gebruikmaken van Zimbra-exploits met als doel gevoelige informatie te stelen.
De IcedID phishing-aanvallen toeschrijven aan een dreigingscluster genaamd UAC-0041, de instantie zei de infectiereeks begint met een e-mail met een Microsoft Excel-document (Мобілізаційний реєстр.xls of Mobilization Register.xls) dat, wanneer het wordt geopend, de gebruikers vraagt om macro’s in te schakelen, wat leidt tot de implementatie van IcedID.
De informatie-stelende malware, ook bekend als BokBot, heeft een soortgelijk traject gevolgd als dat van TrickBot, Emotet en ZLoader, en evolueerde van zijn eerdere wortels als een banktrojan naar een volwaardige crimeware-service die het ophalen van next-stage faciliteert. implantaten zoals ransomware.
De tweede reeks gerichte inbraken betrekking hebben op een nieuwe bedreigingsgroep genaamd UAC-0097, waarbij de e-mail een aantal afbeeldingsbijlagen bevat met een Inhoud-locatie header die verwijst naar een externe server die een stukje JavaScript-code host die een exploit activeert voor een Zimbra cross-site scripting-kwetsbaarheid (CVE-2018-6882).
In de laatste stap van de aanvalsketen wordt het geïnjecteerde frauduleuze JavaScript gebruikt om e-mails van slachtoffers door te sturen naar een e-mailadres onder controle van de dreigingsactor, wat wijst op een cyberspionagecampagne.
De invallen zijn een voortzetting van kwaadaardige cyberactiviteiten die zich sinds het begin van het jaar op Oekraïne richten. Onlangs maakte CERT-UA ook bekend dat het een cyberaanval door Russische tegenstanders had verijdeld om de activiteiten van een niet nader genoemde energieleverancier in het land te saboteren.
