یک گروه عامل تهدید مجموعه ای از حملات سایبری را بر روی نهادهای دولتی، سازمان های نظامی و کاربران غیرنظامی در اوکراین و لهستان انجام داده است.
به گزارش سرویس بین الملل پایگاه خبری عدل البرز به نقل از infosecurity ، این کمپین های مخرب در آوریل ۲۰۲۲ شروع شده و در حال حاضر ادامه دارند. هدف آنها در درجه اول سرقت اطلاعات ارزشمند و ایجاد دسترسی از راه دور بصورت دائمی می باشد.
تیم واکنش به فوریت های رایانه ای اوکراین (CERT-UA) کمپین ماه جولای را به گروه عامل تهدید UNC1151، به عنوان بخشی از فعالیت های عملیاتی GhostWriter که ظاهراً به دولت بلاروس مرتبط می باشد، نسبت داده است.
این حملات از یک زنجیره عفونت چند مرحله ای پیچیده استفاده می کنند که نقطه ورود اولیه شامل اسناد مخرب مایکروسافت آفیس، به ویژه در قالب های اکسل و پاورپوینت می باشد. این اسناد از برنامههای قابل اجرا پنهان و بارهای مخفی شده درون فایلهای تصویری استفاده میکنند که شناسایی شان دشوارتر شود.
تمرکز اصلی این کمپین ها بر نهادهای دولتی و نظامی در اوکراین و لهستان می باشد. عوامل تهدید از تکنیک های مهندسی اجتماعی، با استفاده از تصاویر و متن های به ظاهر معتبر استفاده می کنند.
هدف این فریبکاری هایی مهندسی اجتماعی شده، متقاعد کردن کاربران هدف، برای فعال سازی ماکروها می باشد، بدین ترتیب امکان اجرای زنجیره فراهم می شود.
بر اساس گزارشها، کسبوکارهای اوکراینی و لهستانی، و همچنین کاربران عمومی، قربانی این کمپینها از طریق صفحات گسترده فریبنده اکسل شدهاند که به عنوان فرمهای اظهارنامه مالیات بر ارزش افزوده (VAT) ظاهر میشوند.
تجزیه و تحلیل حملات نشان داده است که بارهای مخرب مختلفی از جمله تروجان دسترسی از راه دور AgentTesla (RAT) به کار گرفته شده است. این بارهای مخرب، عاملان تهدید را قادر میسازد تا اطلاعات را سرقت و کنترل از راه دور بر روی سیستمهای در معرض خطر را به دست آورند.
جهت کاهش خطر ناشی از این حملات سایبری شرکت امنیتی Cisco Talos اجرای اقدامات امنیتی جامع را توصیه کرده است..
پایان پیام/
