ยูเครนแจ้งเตือนแคมเปญฟิชชิ่งรูปแบบใหม่ที่กำหนดเป้าหมายคอมพิวเตอร์ของรัฐบาล

289/67 (IT) ประจำวันพุธที่ 14 สิงหาคม 2567

ศูนย์เผชิญเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) ได้แจ้งเตือนเกี่ยวกับแคมเปญฟิชชิ่งรูปแบบใหม่ที่แอบอ้างว่าเป็นหน่วยงานความปลอดภัยของประเทศยูเครน เพื่อทำการแพร่กระจายมัลแวร์ที่สามารถเข้าถึงเดสก์ท็อปได้จากระยะไกล โดยหน่วยงานกำลังติดตามกิจกรรมดังกล่าวภายใต้ชื่อว่า UAC-0198 ซึ่งคาดว่าจะมีคอมพิวเตอร์มากกว่า 100 เครื่องที่ติดมัลแวร์ตั้งแต่เดือนกรกฎาคม 2024 รวมถึงคอมพิวเตอร์ที่เกี่ยวข้องกับหน่วยงานรัฐบาลในประเทศด้วย โดยห่วงโซ่การโจมตีจะเป็นการส่งอีเมลจำนวนมาก ๆ ออกไปเพื่อแพร่กระจายไฟล์เก็บถาวร ZIP ที่มีไฟล์ติดตั้ง MSI ซึ่งหากผู้ได้รับอีเมลทำการเปิดไฟล์ดังกล่าว จะเป็นการเปิดใช้งานมัลแวร์ที่เรียกว่า ANONVNC    

ANONVNC ซึ่งใช้เครื่องมือการจัดการระยะไกลแบบโอเพ่นซอร์สที่เรียกว่า MeshAgent ช่วยให้สามารถเข้าถึงโฮสต์ที่ติดมัลแวร์ได้อย่างแนบเนียนและไม่ได้รับอนุญาต การพัฒนาดังกล่าวเกิดขึ้นหลังจากที่ CERT-UA กล่าวหาว่ากลุ่มแฮกเกอร์ UAC-0102 เกี่ยวข้องกับการโจมตีแบบฟิชชิ่งโดยเผยแพร่ไฟล์แนบ HTML ที่เลียนแบบหน้าเข้าสู่ระบบของ UKR.NET เพื่อขโมยข้อมูลประจำตัวของผู้ใช้งาน  CERT-UA กล่าวว่า ในช่วงไม่กี่สัปดาห์ที่ผ่านมา หน่วยงานยังได้แจ้งเตือนถึงการเพิ่มขึ้นอย่างรวดเร็วของแคมเปญที่แพร่กระจายมัลแวร์ PicassoLoader โดยมีเป้าหมายสุดท้ายเพื่อติดตั้ง Cobalt Strike Beacon บนระบบที่ถูกบุกรุก การโจมตีดังกล่าวมีความเชื่อมโยงกับผู้ก่อภัยคุกคาม UAC-0057

แหล่งข่าว https://thehackernews.com/2024/08/ukraine-warns-of-new-phishing-campaign.html