Der technische Sicherheits- und Geheimdienst der Ukraine warnt vor einer brandneuen Welle von Cyberangriffen, die darauf abzielen, Zugang zu den Telegram-Konten von Kunden zu erhalten.
„Die Kriminellen schickten Nachrichten mit böswilligen Hyperlinks an die Telegram-Website, um sich unbefugten Zugang zu den Daten zu verschaffen, zusammen mit der Wahrscheinlichkeit, einen einmaligen Code von SMS zu wechseln“, sagte der State Service of Particular Communication and Data Safety (SSSCIP ) der Ukraine genannt in einem Alarm.
Die Anschlägedie einem Bedrohungscluster mit der Bezeichnung „UAC-0094“ zugeordnet wurden, stammen von Telegram-Nachrichten, die Empfänger warnen, {dass ein} Login von einem brandneuen Gerät in Russland erkannt wurde, und die Kunden auffordern, ihre Konten durch Klicken zu bestätigen auf einem Hyperlink.
Die URL, in Wirklichkeit ein Phishing-Bereich, fordert die Opfer auf, zusätzlich zu den per SMS versendeten Einmalpasswörtern ihre Handynummern einzugeben, die dann von den Bedrohungsakteuren verwendet werden, um die Konten zu übernehmen.
Die Vorgehensweise Spiegel das eines früheren Phishing-Angriffs, der Anfang März bekannt wurde und bei dem kompromittierte Posteingänge von völlig anderen indischen Unternehmen genutzt wurden, um Phishing-E-Mails an Kunden von Ukr.web zu versenden, um die Konten zu kapern.
In einem anderen Social-Engineering-Kampagne Wie die ukrainische Laptop Emergency Response Workforce (CERT-UA) bemerkte, wurden kriegsbezogene E-Mail-Köder an Unternehmen der ukrainischen Behörden versandt, um ein bisschen Spionage-Malware einzusetzen.
Die E-Mails enthalten einen HTML-Dateianhang („Conflict Criminals of the Russian Federation.htm“), der geöffnet wird und mit dem Erhalt und der Ausführung eines PowerShell-basierten Implantats auf dem kontaminierten Host gipfelt.
CERT-UA schrieb den Angriff zu Armageddonein in Russland ansässiger Bedrohungsakteur mit Verbindungen zum Föderalen Sicherheitsdienst (FSB), der a Geschichte von Streikende ukrainische Einheiten seit mindestens 2013.
Im Februar 2022 war die Hacking-Gruppe in Verbindung gebracht bis hin zu Spionageangriffen, die sich auf Behörden, Armee, Nichtregierungsorganisationen (NGO), Justiz, Strafverfolgungsbehörden und gemeinnützige Organisationen mit dem Hauptziel der Exfiltration sensibler Daten konzentrieren.
Es kann angenommen werden, dass Armageddon, das auch unter dem Spitznamen Gamaredon bekannt ist, lettische Behördenbeamte als Teil eines Angriffs herausgegriffen hat verwandten Phishing-Angriff in Richtung Ende März 2022, Verwendung von RAR-Archiven zum Thema Krieg, um Malware zu versenden.
Verschiedene Phishing-Kampagnen, die von CERT-UA in den letzten Wochen dokumentiert wurden, haben eine Vielzahl von Malware eingesetzt, zusammen mit GraphSteel, GrimPlant, HeaderTipp, LoadEdgeund SPEKTum nicht darauf hinzuweisen a Ghostwriter-Speerspitze Operation um das Cobalt Strike Post-Exploitation Framework einzuführen.
Die Angriffe von GrimPlant und GraphSteel, die mit einem Bedrohungsakteur namens UAC-0056 (auch bekannt als SaintBear, UNC2589, TA471) in Verbindung stehen, sollen laut SentinelOne Anfang Februar 2022 begonnen haben beschrieben die Nutzlasten als schädliche Binärdateien, die zur Aufklärung, zum Sammeln von Anmeldeinformationen und zum Ausführen willkürlicher Anweisungen entwickelt wurden.
SaintBear kann als dahinter stehend eingeschätzt werden WhisperGate-Aktivität Anfang Januar 2022 Auswirkungen auf Behördenunternehmen in der Ukraine, wobei der Schauspieler die Infrastruktur für die Marketingkampagne von GrimPlant und GraphSteel vorbereitet, die im Dezember 2021 beginnt.
Letzte Woche, Malwarebytes Labs und Intezer verwickelte die Hacker-Crew Ende März in eine brandneue Reihe von Angriffen gegen ukrainische Organisationen, einschließlich eines privaten Fernsehsenders namens ICTV, durch einen Spear-Phishing-Köder, der in Makros eingebettete Excel-Dokumente enthielt, was zur Verbreitung von GrimPlant führte Hintertür (auch bekannt als Elephant Implant).
Die Offenlegung erfolgt, da eine Reihe von APT-Teams (Superior Persistent Threat) aus dem Iran, China, Nordkorea und Russland dies getan haben großgeschrieben über den andauernden russisch-ukrainischen Krieg als Vorwand, Opfernetzwerke durch Hintertüren zu öffnen und verschiedene böswillige Aktionen zu inszenieren.
