Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) ostrzegł przed nową falą kampanii socjotechnicznych dostarczających szkodliwe oprogramowanie IcedID i wykorzystujących exploity Zimbra w celu kradzieży poufnych informacji.
Przypisując ataki phishingowe IcedID do klastra zagrożeń o nazwie UAC-0041, agencja stwierdziła , że sekwencja infekcji zaczyna się od wiadomości e-mail zawierającej dokument Microsoft Excel (Мобілізаційний реєстр.xls lub Mobilization Register.xls), który po otwarciu prosi użytkowników o włączenie makra, co prowadzi do wdrożenia IcedID.
Szkodliwe oprogramowanie kradnące informacje , znane również jako BokBot, podąża podobną trajektorią jak TrickBot, Emotet i ZLoader, ewoluując od swoich wcześniejszych korzeni jako trojan bankowy do pełnoprawnej usługi przestępczej, która umożliwia odzyskiwanie następnego etapu implantacji, takie jak oprogramowanie ransomware.
Drugi zestaw ataków ukierunkowanych dotyczy nowej grupy zagrożeń nazwanej UAC-0097, przy czym wiadomość e-mail zawiera szereg załączników graficznych z nagłówkiem Content-Location wskazującym na zdalny serwer hostujący fragment kodu JavaScript, który aktywuje exploit dla Zimbra luka w zabezpieczeniach cross-site scripting ( CVE-2018-6882 ).
Na ostatnim etapie łańcucha ataków wstrzyknięty nieuczciwy kod JavaScript jest wykorzystywany do przekazywania wiadomości e-mail ofiar na adres e-mail kontrolowany przez cyberprzestępcę, co wskazuje na kampanię cyberszpiegowską.
Ataki są kontynuacją szkodliwych działań cybernetycznych wymierzonych w Ukrainę od początku roku. Niedawno CERT-UA ujawnił również , że udaremnił cyberatak rosyjskich adwersarzy, aby sabotować działalność nieznanego dostawcy energii w tym kraju.
