Das Computer Emergency Response Team der Ukraine (CERT-UA) hat vor einer neuen Welle von Social-Engineering-Kampagnen gewarnt, die IcedID-Malware verbreiten und Zimbra-Exploits ausnutzen, um sensible Informationen zu stehlen.
Das CERT-UA schreibt die IcedID-Phishing-Angriffe einem Bedrohungscluster mit dem Namen UAC-0041 zu und erklärt, dass die Infektionssequenz mit einer E-Mail beginnt, die ein Microsoft Excel-Dokument (Мобілізаційний реєстр.xls oder Mobilization Register.xls) enthält, das, wenn es geöffnet wird, die Benutzer dazu auffordert, Makros zu aktivieren, was zur Verbreitung von IcedID führt.
Die Malware, die Informationen stiehlt und auch als BokBot bekannt ist, hat sich ähnlich wie TrickBot, Emotet und ZLoader von einem Banking-Trojaner zu einem vollwertigen Crimeware-Dienst entwickelt, der die Abfrage von Ransomware ermöglicht.
Die zweite Gruppe gezielter Eindringlinge gehört zu einer neuen Bedrohungsgruppe namens UAC-0097. Die E-Mail enthält eine Reihe von Bildanhängen mit einem Content-Location-Header, der auf einen entfernten Server verweist, auf dem sich ein Stück JavaScript-Code befindet, der eine Schwachstelle im Cross-Site-Scripting von Zimbra ausnutzt (CVE-2018-6882).
Im letzten Schritt der Angriffskette wird der eingeschleuste JavaScript-Code verwendet, um die E-Mails der Opfer an eine E-Mail-Adresse weiterzuleiten, die unter der Kontrolle des Bedrohungsakteurs steht, was auf eine Cyberspionagekampagne hindeutet.
Die Angriffe sind eine Fortsetzung der bösartigen Cyber-Aktivitäten, die seit Anfang des Jahres gegen die Ukraine gerichtet sind. Kürzlich hat das CERT-UA außerdem bekannt gegeben, dass es einen Cyberangriff russischer Angreifer vereitelt hat, der den Betrieb eines ungenannten Energieversorgers im Land sabotieren sollte.