ผู้โจมตีได้มีการแอบอ้างว่าเป็นหน่วยงานความมั่นคงของยูเครน (SSU) และใช้อีเมลสแปมที่เป็นอันตรายเพื่อโจมตี และทำลายระบบที่เป็นของหน่วยงานรัฐบาลของประเทศ
เมื่อวันจันทร์ที่ผ่านมา ทีมตอบสนองต่อเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) เปิดเผยว่าผู้โจมตีสามารถติดมัลแวร์บนคอมพิวเตอร์มากกว่า 100 เครื่องด้วยมัลแวร์ AnonVNC ได้สำเร็จ
ตัวอย่างของข้อมูล code signing certificate บางส่วนพบว่ามาจากบริษัทที่อยู่ในประเทศจีน (Shenzhen Variable Engine E-commerce Co Ltd)
โดยอีเมลที่เป็นอันตรายระบุข้อความ พร้อมแนบลิงก์เพื่อให้เหยื่อคลิกไฟล์แนบที่แอบอ้างว่าเป็นเอกสารที่ SSU ต้องการดังนี้ "เนื่องจากหน่วยงานความมั่นคงของยูเครนต้องทำการตรวจสอบข้อมูลอย่างครอบคลุมจากหลายหน่วยงานในองค์กร ฉันขอให้คุณส่งเอกสารฉบับนี้ไปยังผู้อำนวยการหลักของหน่วยงานภายในวันที่ 15 สิงหาคม 2024 ที่อยู่ 01601, Kyiv 1, str. Malopodvalna, 16 และสามารถดาวน์โหลดเอกสารอย่างเป็นทางการได้ที่: Dokumenty.zip"
การโจมตีเริ่มต้นขึ้นประมาณหนึ่งเดือนที่ผ่านมา โดยในวันที่ 12 กรกฎาคม 2024 มีอีเมลพร้อมทั้งแนบลิงก์ไฟล์เอกสาร zip เพื่อให้ทำการดาวน์โหลดไฟล์ MSI สำหรับติดตั้งบน Windows จาก gbshost[.]net ซึ่งออกแบบมาเพื่อติดตั้งมัลแวร์
แม้ว่า CERT-UA จะไม่ให้รายละเอียดที่แน่ชัดเกี่ยวกับความสามารถของมัลแวร์ แต่ก็ระบุว่ามันทำให้กลุ่มผู้โจมตีที่ถูกติดตามในชื่อ UAC-0198 สามารถเข้าถึงคอมพิวเตอร์ที่ถูกโจมตีได้อย่างลับ ๆ
"CERT-UA ระบุว่าคอมพิวเตอร์ของหน่วยงานรัฐบาลกลาง และท้องถิ่นได้รับผลกระทบมากกว่า 100 เครื่อง"
ข้อมูลการถูกโจมตีของยูเครน
ช่วงเดือนที่ผ่านมา บริษัทความปลอดภัยทางไซเบอร์ Dragos ได้เปิดเผยข้อมูลการโจมตีทางไซเบอร์ในช่วงปลายเดือนมกราคม 2024 โดยระบุว่าผู้โจมตีได้ใช้มัลแวร์ FrostyGoop ซึ่งมีส่วนเกี่ยวข้องกับรัสเซีย เพื่อทำการตัดการทำความร้อนของอาคารอพาร์ตเมนต์มากกว่า 600 แห่งในเมืองลวิฟ ประเทศยูเครน เป็นเวลา 2 วันในช่วงอุณหภูมิที่ต่ำกว่าศูนย์
FrostyGoop เป็นมัลแวร์ ICS ตัวที่ 9 ที่ยังพบการใช้งานอยู่ โดยมีหลายตัวที่มีส่วนเกี่ยวข้องกับกลุ่มผู้โจมตีจากรัสเซีย โดย Mandiant พบ CosmicEnergy ส่วน ESET พบ Industroyer2 ซึ่งแฮ็กเกอร์ Sandworm ใช้ในการโจมตีผู้ให้บริการพลังงานในยูเครนแต่ล้มเหลว
ในเดือนเมษายน CERT-UA ยังเปิดเผยว่ากลุ่มแฮ็กเกอร์รัสเซีย Sandworm ได้โจมตี และเจาะระบบองค์กรโครงสร้างพื้นฐานที่สำคัญด้านพลังงานน้ำ และความร้อน 20 แห่งในยูเครน
ในเดือนธันวาคม Sandworm ยังได้แฮ็กเข้าไปในระบบ และลบข้อมูลของระบบหลายพันเครื่องในเครือข่ายของ Kyivstar ผู้ให้บริการโทรคมนาคมที่ใหญ่ที่สุดในยูเครน โดยรวมแล้วตามที่ CERT-UA เปิดเผยในเดือนตุลาคม พวกเขาได้เจาะเครือข่ายของผู้ให้บริการโทรคมนาคมยูเครน 11 แห่งตั้งแต่เดือนพฤษภาคม 2023
สำนักงานข่าวกรองหลัก (GUR) ของกระทรวงกลาโหมของยูเครนอ้างว่าได้เจาะระบบกระทรวงกลาโหมของรัสเซียในเดือนมีนาคม หลังจากก่อนหน้านี้เคยอ้างความรับผิดชอบในการเจาะระบบศูนย์อุตุนิยมวิทยาอวกาศของรัสเซีย สำนักงานขนส่งทางอากาศแห่งสหพันธรัฐรัสเซีย และกรมสรรพากรแห่งสหพันธรัฐรัสเซีย
ที่มา : bleepingcomputer
You must be logged in to post a comment.