Infostealer kampányok Ukrajnában
Ukrajna márciusban legalább három kibertámadást regisztrált, amelyek kormányzati szerveket és kritikus infrastruktúrát céloztak új kémkedő rosszindulatú szoftverrel. A támadások során a korábban nem ismert Wrecksteel elnevezésű, adathalász e-maileken keresztül terjesztett rosszindulatú szoftvert használták a kiberszereplők – derült ki az ukrán CERT-UA 2025. április 1-jén közzétett jelentéséből.
A kiberszereplők a feltört fiókokat arra használták, hogy nyilvános fájlmegosztó szolgáltatásokra mutató linkeket tartalmazó üzeneteket küldjenek, többek között a DropMeFiles és a Google Drive-ra. A linkek megnyitásakor egy PowerShell szkript futott le, amely lehetővé tette a támadók számára szöveges dokumentumok, PDF-ek, képek és prezentációk megszerzését, valamint képernyőképek készítését a fertőzött eszközökön. A CERT-UA szerint ez a kiberkémkedési kampány legalább 2024 ősz óta aktív és a mögötte álló kiberszereplőt UAC-0219 néven követik nyomon. Az egyik incidens során a támadók adathalász e-maileket küldtek, amelyekben azt állították, hogy egy ukrán kormányhivatal fizetéscsökkentést tervez. Az e-mail egy rosszindulatú linket tartalmazott, amely állítólag az érintett alkalmazottak listájához vezetett. Ebben a kampányban a fő eszköz a WRECKSTEEL volt, amelyet fájlok ellopására terveztek.
Bár a CERT-UA nem tulajdonította a támadásokat konkrét országnak, az ukrán kormányzati intézményeket célzó adathalász-alapú kémkedési kampányok többsége Oroszországból származik. Nemrég például a Cisco Talos kutatói számoltak be arról, hogy egy oroszok által támogatott hackercsoport, a Gamaredon kémkedési kampányt folytat rosszindulatú fájlokkal, amelyek az ukrajnai csapatmozgásokra hivatkoznak. A kampányt az orosz hírszerző szolgálatoknak tulajdonították.
A CERT-UA 2025 februárja óta nyomon követi a katonai ágazat innovációs fejlesztési központjai, katonai alakulatai, bűnüldöző szervek és helyi önkormányzatok – különösen az ország keleti határa mentén fekvő önkormányzatok – elleni kiberkémkedési tevékenységet. A kezdeti kompromittálást olyan e-mailek terjesztésével érik el a kiberszereplők, amelyek mellékleteit makrókkal ellátott XLS dokumentumok (kiterjesztés „.xlsm”) formájában csatolják, amelyek neve/témája a terület aknamentesítésével, közigazgatási bírságokkal, UAV-gyártással, megsemmisített vagyonért járó kártérítéssel stb. kapcsolatos kérdésekre vonatkozik. Ebben az esetben a payload az Excel táblázat celláiban tárolt base64-kódolt karakterláncok formájában jelenik meg. Az említett makró biztosítja a base64-kódolt karakterláncok futtatható fájlokká történő átalakítását (dekódolását), kiterjesztés nélküli mentését a számítógépre és az azt követő elindítását.
2025 áprilisától kezdve két eszköz használatát azonosította a CERT-UA ebben a kampányban. Az első egy .NET program, amelynek erőforrásai egy PowerShell szkriptet tartalmaznak, amely funkcionálisan egy reverse shell, amely a PSSW100AVB nyilvános GitHub repoban elérhető. A második, GIFTEDCROOK néven követett C/C++ stealer, amely többek között hozzáfér a Chrome, Edge, Firefox internetböngészők adatbázisaihoz (cookie-k, előzmények, mentett hitelesítési adatok), archiválja azokat a PowerShell Compress-Archive cmdlet segítségével, majd ezt követően Telegram-on keresztül exfiltrálja a fájlokat. Ezt a kiberfenyegetést UAC-0226 néven követi nyomon a CERT-UA.
