Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), cihazları kötü amaçlı yazılımlarla enfekte etmeyi amaçlayan yeni kimlik avı saldırılarına karşı uyardı.
Etkinlik, Vermin olarak da bilinen UAC-0020 olarak takip edilen bir tehdit kümesine atfedildi. Saldırıların tam ölçeği ve kapsamı şu anda bilinmiyor.
Saldırı zincirleri, Kursk bölgesinden sözde savaş esirlerinin (PoW) fotoğraflarının yer aldığı kimlik avı mesajlarıyla başlıyor ve alıcıları bir ZIP arşivine yönlendiren bir bağlantıya tıklamaya teşvik ediyor.
ZIP dosyası, gizlenmiş bir PowerShell betiğini başlatmaktan sorumlu JavaScript kodunu gömerek Microsoft Derlenmiş HTML Yardım (CHM) dosyasını içerir.
“Dosyayı açmak, bilinen casus yazılım SPECTR’nin bileşenlerini ve FIRMACHAGENT adlı yeni kötü amaçlı yazılımı yükler,” dedi CERT-UA. “FIRMACHAGENT’in amacı, SPECTR tarafından çalınan verileri geri almak ve bunları uzaktan yönetim sunucusuna göndermektir.”
SPECTR, 2019’dan beri Vermin ile bağlantısı bilinen bir kötü amaçlı yazılımdır. Grubun Luhansk Halk Cumhuriyeti’nin (LPR) güvenlik teşkilatlarıyla bağlantılı olduğu değerlendirilmektedir.
Haziran ayının başlarında CERT-UA, Vermin grubu tarafından organize edilen ve ülkedeki savunma güçlerini SPECTR ile hedef alan SickSync adlı başka bir saldırıyı ayrıntılarıyla açıklamıştı.
SPECTR, Element, Signal, Skype ve Telegram gibi çeşitli anlık mesajlaşma uygulamalarından dosyalar, ekran görüntüleri, kimlik bilgileri ve veriler dahil olmak üzere çok çeşitli bilgileri toplamak için tasarlanmış, tüm özelliklere sahip bir araçtır.