Бесплатно Экспресс-аудит сайта:

04.03.2022

Фишеры атакуют организации, помогающие украинским беженцам

ИБ-эксперты предупредили об участившихся кибератаках на организации, помогающие беженцам из Украины. Злоумышленники рассылают фишинговые письма якобы от лица Службы безопасности Украины, будто бы содержащие план эвакуации. На самом деле вложения являются вредоносными и содержат ПО для похищения персональных данных.

Как сообщила словацкая ИБ-компания ESET изданию Forbes, вредоносная программа базируется на ПО для удаленного доступа к Windows-ПК Microsoft Remote Utilities. Вредонос совсем новый, но технически не сложный.

Специалисты американской ИБ-компании Proofpoint также сообщили об обнаружении фишинговой атаки с использованием «плана эвакуации» на неназванную европейскую правительственную организацию, оказывающую помощь украинским беженцам. Фишинговое письмо было отправлено со взломанного адреса электронной почты, оканчивающегося на @ukr[.]net и предположительно принадлежащего военнослужащему.

В письме содержится документ с вредоносным ПО SunSeed. Вредонос предоставляет доступ к зараженному компьютеру и позволяет загружать на него дополнительные вредоносные программы, пояснили в Proofpoint.

«Очевидно, что в качестве жертв были выбраны лица, ответственные за транспортировку, распределение средств и бюджета, администрирование и перемещение людей по Европе. Данная кампания может представлять собой попытку собрать информацию о логистике, имеющей отношение к перемещению средств, поставкам и людям в странах НАТО», - сообщили специалисты Proofpoint.

По словам главы Европейского совета по делам беженцев и вынужденных эмигрантов Кэтрин Вулард (Catherine Woolard), за последнее время количество фишинговых сообщений существенно возросло, но об успешных атаках пока ничего не известно.

Исследователи «ориентировочно» отнесли атаки на счет хакерской группировки Ghostwriter (UNC1151), которую некоторые специалисты связывают с правительством Республики Беларусь. Хотя технических доказательств пока нет, тактика и тайминг атак указывает на Ghostwriter.