De technische veiligheids- en inlichtingendienst van Oekraïne waarschuwt voor een nieuwe golf van cyberaanvallen die erop gericht zijn toegang te krijgen tot de Telegram-accounts van gebruikers.
“De criminelen stuurden berichten met kwaadaardige links naar de Telegram-website om ongeoorloofde toegang tot de records te krijgen, inclusief de mogelijkheid om een eenmalige code van sms over te dragen”, de Staatsdienst voor Speciale Communicatie en Informatiebescherming (SSSCIP) van Oekraïne zei in een waarschuwing.
De aanvallendie zijn toegeschreven aan een dreigingscluster genaamd “UAC-0094”, zijn afkomstig van Telegram-berichten die ontvangers waarschuwen dat een login was gedetecteerd vanaf een nieuw apparaat in Rusland en de gebruikers aansporen hun accounts te bevestigen door op een link te klikken.
De URL, in werkelijkheid een phishing-domein, vraagt de slachtoffers om hun telefoonnummers in te voeren, evenals de eenmalige wachtwoorden die via sms worden verzonden en die vervolgens door de bedreigingsactoren worden gebruikt om de accounts over te nemen.
De modus operandi weerspiegelt die van een eerdere phishing-aanval die begin maart werd onthuld en waarbij gecompromitteerde inboxen van verschillende Indiase entiteiten werden gebruikt om phishing-e-mails naar gebruikers van Ukr.net te sturen om de accounts te kapen.
In een andere social engineering campagne waargenomen door het Oekraïense Computer Emergency Response Team (CERT-UA), werden oorlogsgerelateerde e-maillokmiddelen naar Oekraïense overheidsinstanties gestuurd om een stukje spionagemalware in te zetten.
De e-mails worden geleverd met een HTML-bestandsbijlage (“Oorlogscriminelen van de Russische Federatie.htm”), die worden geopend en die culmineert in de download en uitvoering van een op PowerShell gebaseerd implantaat op de geïnfecteerde host.
CERT-UA schreef de aanval toe aan Armageddon, een in Rusland gevestigde dreigingsactor met banden met de Federale Veiligheidsdienst (FSB) die sinds ten minste 2013 Oekraïense entiteiten heeft geslagen.
In februari 2022 was de hackgroep betrokken bij spionageaanvallen gericht op de overheid, het leger, niet-gouvernementele organisaties (NGO’s), de rechterlijke macht, wetshandhavingsinstanties en non-profitorganisaties met als belangrijkste doel het exfiltreren van gevoelige informatie.
Armageddon, ook bekend onder de bijnaam Gamaredon, zou ook Letse regeringsfunctionarissen hebben uitgekozen als onderdeel van een gerelateerde phishing-aanval tegen het einde van maart 2022, waarbij RAR-archieven met oorlogsthema worden gebruikt om malware te leveren.
Andere phishing-campagnes die de afgelopen weken door CERT-UA zijn gedocumenteerd, hebben een verscheidenheid aan malware ingezet, waaronder: GraphSteel, GrimPlantHeaderTip, LoadEdge en SPECTRom nog maar te zwijgen van een Ghostwriter-speerhoofd operatie om het post-exploitatieraamwerk van Cobalt Strike te installeren.
De onthulling komt op het moment dat verschillende APT-groepen (Advanced Persistent Threat) uit Iran, China, Noord-Korea en Rusland hebben geprofiteerd van de aanhoudende Russisch-Oekraïense oorlog als voorwendsel om achterdeurnetwerken van slachtoffers te maken en andere kwaadaardige activiteiten te organiseren.
