Bezpečnostní výzkumníci varují před novou taktikou hackerských skupin, které k šíření malwaru a kyberšpionážím používají dokumenty s válečnou tematikou. APT skupiny El Machete, Lyceum a SideWinder útočí pomocí spear-phishingových kampaní na lukrativní cíle. Útočníci používají formální dokumenty, novinové články i pracovní nabídky a šíří malware, který se používá ke špionážím. Terčem jsou vládní, bankovní a energetické společnosti.
Malware používaný k těmto útokům dokáže zaznamenávat stisknuté klávesy, krást přihlašovací údaje, včetně dat uložených v prohlížečích Chrome a Firefox, vytvářet snímky obrazovky, kopírovat data ze schránky, plnit příkazy útočníků a odesílat hackerům informace o souborech na disku, včetně názvů a velikostí, aby bylo možné krást konkrétní soubory.
El Machete
Skupina rozesílá spear-phishingové e-maily finančním organizacím v Nikaragui s dokumentem „Temné plány neonacistického režimu na Ukrajině“ ve formátu Word. Dokument obsahuje článek napsaný a zveřejněný ruským velvyslancem v Nikaragui, který se zaměřuje na rusko-ukrajinský konflikt z pohledu Kremlu. Jakmile oběť soubor otevře, spustí se škodlivé makro a do počítače je stažen malware.
Lyceum
V polovině března obdržela izraelská energetická společnost e-mail z adresy inews-reporter@protonmail[.]com s předmětem „Ruské válečné zločiny na Ukrajině“. E-mail obsahoval několik obrázků převzatých z veřejných zdrojů a obsahoval odkaz na článek umístěný na doméně news-spot[.]live. Odkaz v e-mailu vedl na dokument, který obsahoval článek „Výzkumníci shromažďují důkazy o možných ruských válečných zločinech na Ukrajině“, který zveřejnil deník The Guardian. Na stejné doméně je umístěno několik dalších škodlivých dokumentů souvisejících s Ruskem i rusko-ukrajinskou válkou, například kopie článku The Atlantic Council z roku 2020 o ruských jaderných zbraních a nabídce práce agenta na Ukrajině. E-mail obsahuje odkaz na škodlivý dokument, který po uzavření spustí makro. Do počítače je uložen exe. soubor a při dalším restartu počítače je spuštěn malware.
SideWinder
SideWinder používá škodlivý dokument s názvem „Specializovaná přednáška o dopadu ruského konfliktu na Ukrajině na Pákistán“ a dle obsahu jsou hlavním cílem pákistánské subjekty. Jakmile oběť otevře škodlivý dokument, načte se externí šablona ze serveru ovládaném útočníky. Soubor ve formátu RTF zneužívá zranitelnost CVE-2017-11882 a počítač infikuje malwarem.
Výzkumný tým Check Point Research zároveň upozorňuje na další nárůst kyberútoků po celém světě. Od začátku rusko-ukrajinské války došlo celosvětově k nárůstu kyberútoků o 16 %. Počet útoků na české organizace vzrostl od začátku války dokonce o 30 % a jedna česká organizace čelí v průměru 1865 kyberútokům za týden. Jedná se o velmi alarmující číslo, protože jedna evropská organizace čelí v průměru „jen“ 1101 kyberútokům za týden, což je o 18 % více než před začátkem rusko-ukrajinské války.
TZ
Zdroj: IT SECURITY NETWORK NEWS