Kyberzločinci nově zneužívají dokumenty s válečnou tématikou

Check Point Research varuje před novou taktikou hackerských skupin, které k šíření malwaru a kyberšpionážím používají dokumenty s válečnou tematikou.

Spear-phishingové kampaně

Skupiny El Machete, Lyceum a SideWinder útočí pomocí spear-phishingových kampaní na lukrativní cíle. Útočníci používají formální dokumenty, novinové články i pracovní nabídky. Tímto způsobem šíří malware, který se používá ke špionážím. Terčem jsou vládní, bankovní a energetické společnosti.

Od začátku války Ruska s Ukrajinou vzrostl celosvětově počet kyberútoků na organizace o 16 %. Počet útoků na české organizace vzrostl od začátku války o 30 %, jedna česká organizace čelí průměrně 1 865 kyberútokům za týden.

Nebezpečný malware zaznamenává i stisky kláves

Malware používaný k těmto útokům dokáže zaznamenávat stisknuté klávesy, krást přihlašovací údaje, včetně dat uložených v prohlížečích Chrome a Firefox, vytvářet snímky obrazovky, kopírovat data ze schránky, plnit příkazy útočníků a odesílat hackerům informace o souborech na disku, a to včetně názvů a velikostí, aby bylo možné krást konkrétní soubory.

Tři skupiny útočníků

„Výzkumný tým Check Point Research má prozatím informace o aktivitách těchto tří skupin v několika zemích, ovšem podobné techniky a taktiky se mohou snadno rozšířit i do dalších zemí. Organizace po celém světě by se měly mít na pozoru,“ řekl Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

El Machete

Skupina, která pochází ze španělsky mluvících zemí, cílí na finanční a vládní sektor. Zatím napadla cíle v nikaragui a ve Venezuele. El Machete rozesílá spear-phishingové e-maily finančním organizacím s dokumentem „Temné plány neonacistického režimu na Ukrajině“ ve formátu Word. Dokument obsahuje článek napsaný a zveřejněný ruským velvyslancem v Nikaragui, který se zaměřuje na rusko-ukrajinský konflikt z pohledu Kremlu. Jakmile oběť soubor otevře, spustí se škodlivé makro a do počítače je stažen malware.

Lyceum

Tato skupina má původ v Íránské islámksé republice a cílí zejména na energetický sektor. Zatím útočila v Izraeli a v Saúdské Arábii.

V polovině března obdržela izraelská energetická společnost e-mail z adresy inews-reporter@protonmail[.]com s předmětem „Ruské válečné zločiny na Ukrajině“. E-mail obsahoval několik obrázků převzatých z veřejných zdrojů a obsahoval odkaz na článek umístěný na doméně news-spot[.]live. Odkaz v e-mailu vedl na dokument, který obsahoval článek „Výzkumníci shromažďují důkazy o možných ruských válečných zločinech na Ukrajině“, který zveřejnil deník The Guardian.

Na stejné doméně je umístěno několik dalších škodlivých dokumentů souvisejících s Ruskem i rusko-ukrajinskou válkou, například kopie článku The Atlantic Council z roku 2020 o ruských jaderných zbraních a nabídce práce agenta na Ukrajině. E-mail obsahuje odkaz na škodlivý dokument, který po uzavření spustí makro. Do počítače je uložen exe. soubor a při dalším restartu počítače je spuštěn malware.

SideWinder

Tato skupina pochází pravděpodobně z Indie a zatím útočila v Pákistánu. SideWinder používá škodlivý dokument s názvem „Specializovaná přednáška o dopadu ruského konfliktu na Ukrajině na Pákistán“ a dle obsahu jsou hlavním cílem pákistánské subjekty. Jakmile oběť otevře škodlivý dokument, načte se externí šablona ze serveru ovládaném útočníky. Soubor ve formátu RTF zneužívá zranitelnost CVE-2017-11882 a počítač infikuje malwarem.

Válečná témata jako návnada

„APT skupiny používají k útokům stále častěji válečná témata. Kampaně jsou cílené, velmi rafinované a zaměřují se na vládní, finanční a energetický sektor. Malware umožňuje krást citlivá data, sledovat stisknuté klávesy nebo vytvářet snímky obrazovky. Hlavní motivací tak je dle všeho kybernetická špionáž. Důrazně doporučujeme vládám, bankám a energetickým společnostem, ale i všem ostatním organizacím, aby vzdělávaly své zaměstnance a používaly pokročilá bezpečnostní řešení,“ upozornil Daniel Šafář.

Kyberútoky po celém světě rostou

Výzkumný tým Check Point Research zároveň upozorňuje na další nárůst kyberútoků po celém světě. Od začátku rusko-ukrajinské války došlo celosvětově k nárůstu kyberútoků o 16 %. Počet útoků na české organizace vzrostl od začátku války dokonce o 30 % a jedna česká organizace čelí v průměru 1865 kyberútokům za týden. Jedná se o velmi alarmující číslo, protože jedna evropská organizace čelí v průměru „jen“ 1101 kyberútokům za týden, což je o 18 % více než před začátkem rusko-ukrajinské války.

Zdroj: TZ Check Point Research