Oekraïne-oorlogsthema-bestanden worden het lokaas bij uitstek voor een breed scala aan hackers

Oekraïne oorlog Nachrichten

Een groeiend aantal dreigingsactoren gebruikt de aanhoudende Russisch-Oekraïense oorlog als een lokaas in verschillende phishing- en malwarecampagnes, zelfs nu kritieke infrastructuurentiteiten nog steeds zwaar worden aangevallen.

„Door de overheid gesteunde actoren uit China, Iran, Noord-Korea en Rusland, evenals verschillende niet-toegeschreven groepen, hebben verschillende oorlogsgerelateerde thema’s in Oekraïne gebruikt in een poging om doelen ertoe te brengen kwaadaardige e-mails te openen of op kwaadaardige links te klikken“, zegt Google Threat Analysis Group. (TAG) Billy Leonard zei in een rapport.

„Financieel gemotiveerde en criminele actoren gebruiken ook de actualiteit als een middel om gebruikers te targeten“, voegde Leonard toe.

Een opmerkelijke dreigingsactor is Curious Gorge, die TAG heeft toegeschreven aan China People’s Liberation Army Strategic Support Force (PLA SSF) en die is waargenomen bij het slaan van regerings-, leger-, logistieke en productieorganisaties in Oekraïne, Rusland en Centraal-Azië.

Aanvallen gericht op Rusland hebben verschillende overheidsinstanties uitgekozen, zoals het ministerie van Buitenlandse Zaken, met extra compromissen die gevolgen hebben voor Russische defensie-aannemers en -fabrikanten, evenals een niet nader genoemd logistiek bedrijf.

De bevindingen volgen op onthullingen dat een door China gelieerde, door de overheid gesponsorde dreigingsactor bekend als Mustang Panda (ook bekend als Bronze President) mogelijk het doelwit was van Russische overheidsfunctionarissen met een bijgewerkte versie van een trojan voor externe toegang genaamd PlugX.

Een andere reeks phishing-aanvallen betrof APT28-hackers (ook bekend als Fancy Bear) die zich richtten op Oekraïense gebruikers met een .NET-malware die cookies en wachtwoorden van Chrome-, Edge- en Firefox-browsers kan stelen.

Ook betrokken waren in Rusland gevestigde bedreigingsgroepen, waaronder Turla (ook bekend als Venomous Bear) en COLDRIVER (ook bekend als Calisto), evenals een Wit-Russische hackploeg genaamd Ghostwriter in verschillende phishing-campagnes met referenties gericht op defensie- en cyberbeveiligingsorganisaties in de Baltische regio en risicovolle personen in Oekraïne.

Oorlogsthema-bestanden in Oekraïne

De laatste aanvallen van Ghostwriter leidden slachtoffers naar gecompromitteerde websites, vanwaar de gebruikers naar een door een aanvaller gecontroleerde webpagina werden gestuurd om hun inloggegevens te verzamelen.

In een niet-gerelateerde phishing-campagne gericht op entiteiten in Oost-Europese landen, is een voorheen onbekende en financieel gemotiveerde hackgroep gespot die zich voordeed als een Russisch bureau om een ​​JavaScript-achterdeur genaamd DarkWatchman op geïnfecteerde computers te implementeren.

IBM Security X-Force verbond de inbraken met een bedreigingscluster dat het volgt onder de naam Hive0117.

„De campagne doet zich voor als officiële mededelingen van de federale gerechtsdeurwaardersdienst van de Russische regering, de Russisch-talige e-mails zijn gericht aan gebruikers in Litouwen, Estland en Rusland in de sectoren telecommunicatie, elektronica en industrie“, stelt het bedrijf. zei.

De update voor cyberactiviteit komt nadat Microsoft bekendmaakte dat zes verschillende met Rusland gelieerde actoren van 23 februari tot 8 april minstens 237 cyberaanvallen tegen Oekraïne hebben gelanceerd, waaronder 38 discrete destructieve aanvallen die onherroepelijk bestanden vernietigden in honderden systemen in tientallen organisaties in het land.

De geopolitieke spanningen en de daaruit voortvloeiende militaire invasie van Oekraïne hebben ook geleid tot een escalatie in data wiper-aanvallen bedoeld om missiekritieke processen te verlammen en forensisch bewijs te vernietigen.

Bovendien heeft het Computer Emergency Response Team van Oekraïne (CERT-UA) onthuld details van aanhoudende gedistribueerde denial-of-service (DDoS)-aanvallen gericht tegen de overheid en nieuwsportalen door kwaadaardig JavaScript (genaamd „BrownFlood“) in de besmette sites te injecteren.

Ook buiten Oekraïne zijn DDoS-aanvallen gemeld. Vorige week heeft het Roemeense nationale directoraat voor cyberbeveiliging (DNSC) onthuld dat verschillende websites van openbare en particuliere instellingen „het doelwit waren van aanvallers die deze online diensten onbeschikbaar wilden maken“.

De aanslagen, opgeëist door een pro-Russisch collectief genaamd Killnet, zijn een reactie op het besluit van Roemenië om Oekraïne te steunen in het militaire conflict met Rusland.

David
Rate author
Hackarizona