Ukrán kormányzatot és hadsereget célzó kampány
Az ukrán CERT (CERT-UA) nagyszabású adathalászkampányt észlelt, amely ukrajnai kormányzati szerveket, kulcsfontosságú ipari vállalatokat és katonai alakulatokat célzott meg. Az Amazon és Microsoft szolgáltatásokkal való „integrációval” kapcsolatos, hivatalos kommunikációnak álcázott és a Zero Trust Architecture (ZTA) kezdeményezést népszerűsítő e-mailek egy szélesebb körű kibertámadási kampány részét képezték, amelyet az UAC-0215 azonosító alatt követnek nyomon.
A CERT-UA szerint az e-mailek rosszindulatú mellékleteket tartalmaznak, különösen Remote Desktop Protocol konfigurációs fájlokat („.rdp” fájlok). Amikor ezek a fájlok végrehajtódnak, közvetlen RDP-kapcsolatot hoznak létre a támadók által ellenőrzött szerverekkel. A kapcsolódás után a rosszindulatú szerverek nemcsak az áldozat helyi lemezeihez, hálózati erőforrásaihoz, nyomtatóihoz, COM-portjaihoz, audioeszközeihez és vágólapjához férnek hozzá, hanem potenciálisan technikai feltételeket is teremtenek további eszközök vagy szkriptek végrehajtásához az áldozat gépén. A támadás széles földrajzi kiterjedését más országok kiberbiztonsági szervezetei is megerősítették, ami arra utal, hogy a kampány kiberinfrastruktúrája legalább 2024 augusztusa óta készül – közölte a CERT-UA.
A kapcsolódó domainnevek és IP-címek elemzése kompromittáltságra utaló jeleket (IOC) tárt fel, bár a CERT-UA figyelmeztet, hogy a felsorolt IP-címek és domainek némelyike nem feltétlenül kapcsolódik közvetlenül ehhez a konkrét incidenshez.
