Hamis idézésekkel támadják Ukrajna védelmi szektorát
A CERT-UA kutatói megállapították, hogy az UAC-0099 néven követett kiberszereplő hamis idézéseket tartalmazó e-maileket küld Ukrajna ország kormányának, hadseregének és védelmi szektorának, amelyek állítólag ukrán bíróságoktól származnak. A kampány mögött álló támadók legalább 2022 óta aktívak az országban, és jogosulatlan távoli hozzáférést szereztek több tucat helyi számítógéphez, állították korábban az ukrán kiberbiztonsági szervek.
A legutóbbi kampány során az UAC-0099 bírósági idézésnek álcázott adathalász e-maileket használt. Ezek az üzenetek linkeket tartalmaztak legitim fájlmegosztó platformokra, amelyek malware-rel ellátott archív fájlokat szállítottak. A kampányban használt elsődleges malware, a Matchboil, rendszeradatokat gyűjt és további rosszindulatú eszközöket telepít – köztük a Matchwokot, egy távoli parancsok végrehajtását lehetővé tevő backdoor-t, és a Dragstare-t, egy olyan stealert, amely böngészőadatokat, például jelszavakat, cookie-kat és asztali fájlokat gyűjt.
A CERT-UA nem hozta nyilvánosságra, hogy hány rendszer érintett, és mekkora mennyiségű adat kompromittálódott. Bár az ügynökség nem tulajdonította a támadásokat egy konkrét államnak, a taktikák és a célpontok kiválasztásának mintázata hasonlít az orosz kiberszereplők korábbi műveleteihez.
Ukrajna kiberbiztonsági ügynöksége korábban már összekapcsolta az UAC-0099-et egy 2024 végén történt támadássorozattal, amely erdészeti hatóságokat, törvényszéki intézményeket és ipari létesítményeket vett célba. Akkor a csoport egy másik, Lonepage néven ismert kártevő programot használt, amelyet most úgy tűnik, hogy a legutóbbi műveletekben a Matchboil váltott fel. „A taktikák, technikák, eljárások és eszközök változása a kiberfenyegetés fejlődő és tartós jellegét jelzi” – állítják a kutatók.
A CERT-UA jelentései általában korlátozott technikai részleteket tartalmaznak.
