MicroBackdoor kampány Ukrajnában
Az Ukrán Computer Emergency Response Team (CERT-UA) megerősítette azt a kibertámadási kampányt, amely az ukrán kormányhivatalokat vette célba a MicroBackdoor kártevőkkel.
A CERT által gyűjtött információk szerint a kampány adathalász e-mailek útján indul, amelyek egy „dovidka.zip” nevű fájlt tartalmaznak, amely egy súgófájlt (Microsoft Compiled HTML Help) „dovidka.chm” tartalmaz. Az adathalász levelek a háborús eseményekhez kacsolódó tartalmat és képeket ígérnek, továbbá egy „file.htm” HTA-fájlt, amelyben VBScript rosszindulatú kódot rejtettek. A rosszindulatú kód végrehajtása az „ignit.vbs” dropper futtatását eredményezi, amely dekódolja a „core.dll” .NET-loadert, amely letölti a MicroBackdoor-t.
A CERT-UA szerint a hátsó ajtót és a betöltőt 2022 januárjában hozták létre, még mielőtt Oroszország megtámadta volna az országot. A kampányok hasonlóságot mutat az UAC-0051 fenyegetési csoport tevékenységeivel, más néven „unc1151”, amelyet a Mandiant a belorusz kormánnyal hoz kapcsolatba.