Киберпреступники провели 2 кампании, основанных на страхах жителей Украины

Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) заявила, что российские хакеры используют уязвимость Follina в новых фишинговых кампаниях для установки вредоносного ПО CredoMap и маяков Cobalt Strike.

По предположениям специалистов, хакерская группа APT28 ( Strontium, Fancy Bear и Sofacy ) рассылает электронные письма с вредоносным документом под названием «Ядерный терроризм — реальная угроза.rtf». Хакеры выбрали такую тему, чтобы побудить получателя открыть документ, так как среди украинцев распространен страх перед потенциальной ядерной атакой. RTF документ использует уязвимость CVE-2022-30190 (Follina) для загрузки и запуска вредоносного ПО CredoMap (docx.exe) на устройстве жертвы.

Согласно отчету Malwarebytes , полезная нагрузка представляет собой инфостилер , который крадёт учетные данные и cookie файлы из браузеров Chrome, Edge и Firefox. Затем ПО извлекает украденные данные с помощью протокола электронной почты IMAP и отправляет всё на C2 адрес, который размещен на заброшенном сайте в Дубае.

CERT-UA также выявила другую кампанию злоумышленника под названием UAC-0098, использующую CVE-2022-30190. CERT-UA сообщила , что субъект угрозы использовал DOCX файл с именем «Наложение штрафов.docx», а полезная нагрузка, полученная с удаленного ресурса, представляет собой маяк Cobalt Strike (ked.dll) с последней датой компиляции.

Рассылаемые электронные письма якобы приходят от Государственной налоговой службы Украины с темой «Уведомление о неуплате налога». Из-за продолжающейся спецоперации России на Украине многие граждане Украины перестали платить налоги государству, поэтому приманка может быть эффективной против многих украинцев.

CERT-UA посоветовала сотрудникам организаций сохранять бдительность в отношении фишинговых электронных писем, поскольку количество целевых фишинговых атак остается высоким.

Источник: securitylab