Secondo una nuova ricerca Mandiant il popolo ucraino è stato vittima di attacchi di spear phishing tramite documenti umanitari relativi a pratiche di evacuazione utilizzati come esca.

attacchi di spear phishing

Secondo una nuova ricerca pubblicata da Mandiant Threat Intelligence, nel corso dei bombardamenti delle città ucraine da parte dell’esercito russo, sospetti attori russi erano impegnati ad attuare attacchi di spear phishing inviando, tramite email destinate ad enti pubblici e privati ucraini, allegati malevoli con titoli come “Cosa fare durante i bombardamenti di artiglieria con sistemi di fuoco a raffica?” e “Piani di evacuazione”.

Questa ricerca sugli attacchi di spear phishing è stata pubblicata dopo che la CYBERCOMMAND statunitense ha reso pubblici gli indicatori utilizzati in queste intrusioni.

Mandiant ritiene che queste operazioni siano state progettate per ottenere l’accesso a network d’interesse. Tuttavia, le attività successive pianificate restano poco chiare, a seconda se i tentativi di intrusione vadano o meno a buon fine.

Informazioni chiave presenti nella ricerca di Mandiant:

  • Le attività si sono svolte tra la fine di febbraio e marzo 2022;
  • Gli esperti di Mandiant ritengono che questi attacchi di spear phishing abbiano avuto origine da UNC1151 e UNC2589;
  • Sebbene le campagne effettuate dai due gruppi presentino alcune sovrapposizioni, Mandiant non ritiene che vi sia un collegamento diretto;
  • UNC1151: Mandiant ritiene che questo gruppo sia sponsorizzato dalla Bielorussia; ha preso attivamente di mira l’Ucraina a partire dall’invasione da parte della Russia;
  • Gli attacchi di spear phishing di UNC1151 hanno provato a distribuire un payload backdoor BEACON, in aggiunta a una versione modificata di MICROBACKDOOR che ha permesso per la prima volta di utilizzare la funzionalità di screenshot;
  • UNC1151 ha sfruttato un account personale ucraino compromesso per inviare email di phishing e farle apparire legittime;
  • Questo gruppo utilizza spesso l’accesso e le informazioni ottenute tramite le intrusioni per supportare attività di information operations (IO) tracciate come “Ghostwriter”;
  • UNC2589: si ritiene che agisca a sostegno degli interessi del governo russo e che abbia condotto vaste campagne di spionaggio, tra cui gli attacchi dirompenti del 14 gennaio con PAYWIPE (WHISPERGATE);
  • Ha sfruttato un account personale ucraino compromesso per inviare email di phishing e farle apparire legittime;
  • La sospetta campagna UNC2589 ha preso di mira realtà ucraine tramite il malware GRIMPLANT e GRAPHSTEEL il 27 marzo 2022. GRIMPLANT è una backdoor scritta in GO che si rivolge a Google RPC ed esegue un’indagine di sistema che è caricata sul dispositivo di comando e controllo (C&C) e può eseguire comandi forniti da esso sul dispositivo della vittima. GRAPHSTEEL è un infostealer che sembra essere una versione modificata e armata del progetto pubblico Githun goLazagne. GRAPHSTEEL effettua un’indagine sul computer della vittima, comprese le credenziali del browser, enumera le unità D – Z e carica i file al C&C.