Sono stati scoperti i dettagli di una nuova campagna di phishing sponsorizzata da un attore statale che mette nel mirino gli enti governativi europei in quello che è visto come un tentativo di ottenere informazioni sul movimento dei rifugiati e delle forniture nella regione.

La società di sicurezza Proofpoint, che ha rilevato le e-mail dannose per la prima volta il 24 febbraio 2022, ha soprannominato gli attacchi di ingegneria sociale “Asylum Ambuscade“.

“L’email includeva un allegato macro dannoso che utilizzava temi di ingegneria sociale relativi alla riunione di emergenza del Consiglio di sicurezza della NATO tenutasi il 23 febbraio 2022“, hanno detto i ricercatori Michael Raggi e Zydeca Cass in un rapporto pubblicato martedì.

“L’e-mail conteneva anche un allegato dannoso che ha tentato di scaricare un malware Lua dannoso chiamato SunSeed e ha preso di mira il personale del governo europeo incaricato di gestire i trasporti e il movimento della popolazione in Europa“.

I risultati si basano su un avviso emesso dal Servizio statale di comunicazione speciale e protezione delle informazioni dell’Ucraina (DSSZZI), che ha avvertito la scorsa settimana di messaggi di phishing rivolti al suo personale militare con allegati di file ZIP con l’obiettivo di rubare informazioni personali sensibili.

Proofpoint ha rifiutato di attribuire la campagna appena osservata a uno specifico attore di minacce, ma ha notato che le sovrapposizioni nella linea temporale dei due set di attacchi, le esche di phishing utilizzate e i modelli di vittimologia si allineano con quelli di un gruppo di stato-nazione bielorusso chiamato UNC1151 (aka TA445 o Ghostwriter).

Uno degli aspetti degni di nota di Asylum Ambuscade è il probabile utilizzo di un account email compromesso di un membro del servizio armato ucraino per trasmettere messaggi email contenenti un file XLS con macro che trasporta SunSeed su host infetti, implicando che l’ultima campagna può essere una continuazione di questi attacchi.

SunSeed, da parte sua, funziona come un downloader che stabilisce le comunicazioni con un server controllato dall’attore per recuperare i payloads per l’esecuzione.

La società di cybersecurity con sede a Sunnyvale ha osservato che gli attacchi hanno individuato specificamente gli individui che sono stati incaricati di responsabilità relative al trasporto, all’assegnazione finanziaria e di bilancio, all’amministrazione e al movimento della popolazione in Europa.

La divulgazione arriva mentre l’intensificazione dell’invasione militare della Russia in Ucraina ha polarizzato il cyberspazio, con hacktivisti, criminali informatici, ricercatori white hat e aziende tecnologiche che scelgono una parte nel conflitto.

In un aggiornamento separato pubblicato oggi, il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha descritto gli sviluppi in corso come una “guerra informativa e psicologica”, esortando le persone nel paese a monitorare attentamente i loro conti per i dispositivi non riconosciuti, attivare l’autenticazione a due fattori e utilizzare app di messaggistica crittografata end-to-end.

Inoltre, la società di sicurezza e-mail Avanan ha detto di aver assistito a un aumento di otto volte degli attacchi via e-mail provenienti dalla Russia a partire dal 27 febbraio, almeno alcuni dei quali hanno preso di mira la produzione, la spedizione internazionale e le aziende di trasporto situate negli Stati Uniti e in Europa.

“Alla luce della guerra Russia-Ucraina in corso, le azioni di attori proxy come TA445 continueranno a prendere di mira i governi europei per raccogliere informazioni sul movimento dei rifugiati dall’Ucraina e su questioni importanti per il governo russo”.