Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã cảnh báo về một chiến dịch lừa đảo mới do nhóm APT28 liên kết với Nga dàn dựng để triển khai phần mềm độc hại không có giấy tờ trước đây như OCEANMAP, MASEPIE và STEELHOOK để thu thập thông tin nhạy cảm.
Hoạt động được cơ quan này phát hiện trong khoảng thời gian từ ngày 15 đến 25/12/2023, nhắm vào các cơ quan chính phủ Ukraine và các tổ chức Ba Lan bằng các email kêu gọi người nhận nhấp vào liên kết để xem tài liệu.
Tuy nhiên, ngược lại, các liên kết chuyển hướng đến các tài nguyên web độc hại lạm dụng JavaScript và trình xử lý giao thức URI "search-ms:" để thả tệp lối tắt Windows (LNK) khởi chạy các lệnh PowerShell để kích hoạt chuỗi lây nhiễm cho một phần mềm độc hại mới được gọi là MASEPIE.
MASEPIE là một công cụ dựa trên Python để tải xuống / tải lên các tệp và thực thi các lệnh, với giao tiếp với máy chủ lệnh và kiểm soát (C2) diễn ra trên một kênh được mã hóa bằng giao thức TCP.
Các cuộc tấn công tiếp tục mở đường cho việc triển khai phần mềm độc hại bổ sung, bao gồm tập lệnh PowerShell có tên STEELHOOK có khả năng thu thập dữ liệu trình duyệt web và xuất nó sang máy chủ do tác nhân kiểm soát ở định dạng mã hóa Base64.
Cũng được phân phối là một backdoor dựa trên C # có tên là OCEANMAP được thiết kế để thực hiện các lệnh bằng cmd.exe.
"Giao thức IMAP được sử dụng như một kênh điều khiển", CERT-UA cho biết, thêm sự kiên trì đạt được bằng cách tạo một tệp URL có tên "VMSearch.url" trong thư mục Windows Startup.
"Các lệnh, ở dạng mã hóa Base64, được chứa trong 'Bản nháp' của các thư mục email tương ứng; mỗi bản nháp chứa tên của máy tính, tên của người dùng và phiên bản HĐH. Kết quả của các lệnh được lưu trữ trong thư mục hộp thư đến."
Cơ quan này tiếp tục chỉ ra rằng các hoạt động trinh sát và di chuyển ngang được thực hiện trong vòng một giờ sau khi thỏa hiệp ban đầu bằng cách tận dụng các công cụ như Impacket và SMBExec.
Tiết lộ được đưa ra vài tuần sau khi IBM X-Force tiết lộ việc APT28 sử dụng mồi nhử liên quan đến cuộc chiến Israel-Hamas đang diễn ra để tạo điều kiện thuận lợi cho việc cung cấp một cửa hậu tùy chỉnh có tên HeadLace.
Trong những tuần gần đây, nhóm tin tặc được Điện Kremlin hậu thuẫn cũng được cho là đã khai thác lỗ hổng bảo mật nghiêm trọng hiện đã được vá trong dịch vụ email Outlook (CVE-2023-23397, điểm CVSS: 9,8) để truy cập trái phép vào tài khoản của nạn nhân trong các máy chủ Exchange.