Nhóm Ứng cứu Khẩn cấp Máy tính của Ukraine (CERT-UA) đã cảnh báo về một làn sóng mới của các chiến dịch kỹ thuật xã hội cung cấp phần mềm độc hại IcedID và tận dụng các hoạt động khai thác của Zimbra với mục tiêu đánh cắp thông tin nhạy cảm.
Phân bổ các cuộc tấn công lừa đảo IcedID cho một cụm mối đe dọa có tên UAC-0041, cơ quan cho biết chuỗi lây nhiễm bắt đầu bằng một email chứa tài liệu Microsoft Excel (Мобілізаційний реєстр.xls hoặc Mobilization Register.xls), khi mở ra, sẽ nhắc người dùng bật macro, dẫn đến việc triển khai IcedID.
Phần mềm độc hại đánh cắp thông tin, còn được gọi là BokBot, đã đi theo quỹ đạo tương tự như của TrickBot, Emotet và ZLoader, phát triển từ nguồn gốc trước đây của nó là trojan ngân hàng thành một dịch vụ phần mềm tội phạm chính thức có khả năng truy xuất ở giai đoạn tiếp theo cấy ghép chẳng hạn như ransomware.
Nhóm xâm nhập có mục tiêu thứ hai liên quan đến một nhóm mối đe dọa mới có tên là UAC-0097, với email bao gồm một số tệp đính kèm hình ảnh có tiêu đề Nội dung-Vị trí trỏ đến một máy chủ từ xa lưu trữ một đoạn mã JavaScript kích hoạt khai thác cho Zimbra lỗ hổng tập lệnh chéo trang web (CVE-2018-6882).
Trong bước cuối cùng của chuỗi tấn công, JavaScript giả mạo được chèn vào được sử dụng để chuyển tiếp email của nạn nhân đến một địa chỉ email dưới sự kiểm soát của kẻ đe dọa, cho thấy một chiến dịch gián điệp mạng.
Các cuộc xâm nhập là sự tiếp nối của các hoạt động mạng độc hại nhắm vào Ukraine kể từ đầu năm. Gần đây, CERT-UA cũng tiết lộ rằng họ đã ngăn chặn một cuộc tấn công mạng của đối thủ Nga nhằm phá hoại hoạt động của một nhà cung cấp năng lượng giấu tên ở nước này.
.
