Feltételezett orosz hackerek ukrán védelmi vállalatokat vesznek célba
Az ukrán CERT-UA jelentése szerint feltételezett orosz hackerek egy új kémkedési kampány keretében ukrán katonai és védelmi vállalatokat vesznek célba. A kampány mögött álló szereplőt a CERT-UA UAC-0185 néven követi nyomon. A kiberszereplő a múlt héten Kijevben megrendezett legitim védelmi konferenciára szóló meghívóknak álcázott adathalász e-maileket küldött.
Az UNC4221 néven is ismert csoport legalább 2022 óta aktív, és elsősorban az ukrán katonai személyzetet célozza meg azzal, hogy üzenetküldő alkalmazásokon, például a Signalon, a Telegramon és a WhatsAppon, valamint a helyi katonai rendszereken, például a Deltán, a Tenetán és a Kropyván keresztül lopja el a hitelesítő adatokat. A fiókok kompromittálása mellett a támadók szelektíven hajtanak végre kibertámadásokat, hogy jogosulatlan távoli hozzáférést szerezzenek az ukrán védelmi-ipari komplexum és a védelmi erők alkalmazottainak számítógépeihez – írja a CERT-UA.
Ukrajna nem tulajdonította a csoportot egy konkrét országnak, de a kutatók korábban az UNC4221-t Oroszországgal hozták kapcsolatba. A csoport taktikája és céljai megegyeznek azokkal, amelyeket a Moszkva által támogatott hackerek általában alkalmaznak. A csoport jól ismert eszközöket használ áldozatai eszközeinek megfertőzésére, köztük a MeshAgent és az UltraVNC-t – egy nyílt forráskódú szoftvert, amelyet számítógépes rendszerek távoli kezelésére használnak.
2024. augusztusban az UAC-0198 fenyegető szereplő a MeshAgentre épülő backdoor kártevőprogramot használt több mint 100 ukrán állami számítógép megfertőzésére. A MalwareBytes kiberbiztonsági cég elemzése szerint a MeshAgent különböző módokon tud beszivárogni a rendszerekbe, leggyakrabban rosszindulatú makrókat tartalmazó e-mail kampányok eredményeként. Az UltraVNC szoftverrel is visszaélhetnek a hackerek, hogy átvegyék az ellenőrzést a célzott rendszer felett, és backdoor-oakt telepítsenek.
Az ukrán katonai és védelmi vállalatok gyakori célpontjai a hackereknek, általában oroszországi kapcsolatokkal. 2024. július elején az UAC-0180 néven nyomon követett fenyegető szereplő drónbeszerzési szerződéseknek álcázott rosszindulatú e-mailek segítségével próbált meg hozzáférni ukrán védelmi vállalatok rendszereihez.
A CERT-UA megosztotta az IOC-kat.
