Saugumo tyrėjų komanda "Blackberry" teigia aptikusi programišių grupę, kuri atakuoja Ukrainos šalininkus kenkėjiška programine įranga prieš NATO viršūnių susitikimą Vilniuje (liepos 11-12 dienomis).
"Blackberry Research and Intelligence Team" komandos duomenimis, programišių grupė "RomCom" naudoja suklastotus dokumentus, kurie imituoja raginimą Ukrainai įstoti į NATO - tai vieną iš svarbiausių temų viršūnių susitikime.
Kibernetiniai išpuolius sudaro dvi atakos, panaudojant "spear-phishing" ir "typosquatting" būdai, įtraukiant nepastebimas žymas į URL adresus. Programišiai sukūria kenkėjišką dokumentą, kuris platinamas ukrainiečių kongreso vardu tarp Ukrainos šalininkų. Dokumentas ragina gavėją spustelėti nuorodą į sukčiavimo svetainę "ukrainianworldcongress.info" (originali svetainė ".org").
Tikroji (kairėje) ir netikra (dešinėje) kongreso svetainė
Kai auka pereina į svetainę, jos įrenginyje įdiegiama kenkėjiška programinė įranga, kuri renka informaciją apie vartotoją (vardas, IP adresas) tam kad būtų nustatytas konkretus aukos adresas.
Atakose yra pasinaudojama "Microsoft CVE-2022-30190" pažeidžiamumu, kuris buvo aptiktas praėjusių metų gegužę. Pasinaudojant vis dar neištaisyta pažeidžiamumo klaida, užpuolikai nuotoliniu būdu įvykdo kodą (Remote code Execution, RCE), sukuriant kenkėjišką dokumentą ".docx" arba ".rtf". Ši technika yra efektyvi net ir išjungus makrokomandas ir atidarius dokumentą saugaus peržiūrėjimo režimu. "Blackberry" duomenimis, toks atakos būdas buvo vienas aktyviausiai naudojamų pernai.
Kibernetinio saugumo komanda RomCom seka išpuolius nuo praėjusių metų, kai aptiko grupuotės išpuolius prieš Ukrainos karines įstaigas. Kodo panašumas dviejose kampanijose leidžia daryti išvadą, kad už jų stovi ta pati hakerių grupė.
Ukraina jau patyrė kibernetines atakas, jos buvo įvykdytos pasinaudojant "Follina" pažeidžiamumą. 2022 metų birželį reaguodama į kompiuterinius incidentus Ukrainos komanda (CERT-UA) pranešė apie sukčiavimo kampaniją, kurios metu programišiai "Sandworm" siuntė kenkėjiškus laiškus Ukrainos žiniasklaidai, kad įterptų kenkėjišką programinę įrangą.
Komentarai