Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah memperingatkan gelombang baru kampanye rekayasa sosial yang mengirimkan malware IcedID dan memanfaatkan eksploitasi Zimbra dengan tujuan mencuri informasi sensitif.
Mengaitkan serangan phishing IcedID ke kluster ancaman bernama UAC-0041, agensi dikatakan urutan infeksi dimulai dengan e mail yang berisi dokumen Microsoft Excel (Мобілізаційний еєстр.xls atau Mobilization Register.xls) yang, ketika dibuka, meminta pengguna untuk mengaktifkan makro, yang mengarah ke penyebaran IcedID.
Itu malware pencuri informasijuga dikenal sebagai BokBot, telah mengikuti lintasan serupa dengan TrickBot, Emotet, dan ZLoader, berkembang dari akar sebelumnya sebagai trojan perbankan ke layanan crimeware lengkap yang memfasilitasi pengambilan implan tahap berikutnya seperti ransomware.
Itu set kedua intrusi yang ditargetkan berhubungan dengan grup ancaman baru yang dijuluki UAC-0097, dengan e mail yang menyertakan sejumlah lampiran gambar dengan a Konten-Lokasi header yang menunjuk ke server jauh yang menghosting sepotong kode JavaScript yang mengaktifkan eksploitasi untuk kerentanan skrip lintas situs Zimbra (CVE-2018-6882).
Pada langkah terakhir dari rantai serangan, JavaScript jahat yang disuntikkan digunakan untuk meneruskan e mail korban ke alamat e mail di bawah kendali aktor ancaman, yang menunjukkan kampanye spionase dunia maya.
Serangan tersebut merupakan kelanjutan dari aktivitas siber jahat yang menargetkan Ukraina sejak awal tahun. Baru-baru ini, CERT-UA juga diungkapkan bahwa mereka telah menggagalkan serangan siber oleh musuh Rusia untuk menyabot operasi penyedia energi yang tidak disebutkan namanya di negara itu.
