تیم پاسخ به حوادث رایانهای اوکراین (CERT-UA) اعلام کرده که دستکم سه حمله سایبری با استفاده از بدافزار WRECKSTEEL علیه نهادهای دولتی و تأسیسات زیرساختی حیاتی در این کشور بهمنظور سرقت اطلاعات حساس ثبت شده است.
طبق اعلام این سازمان، در این کمپین از حسابهای ایمیل آلوده شده برای ارسال پیامهای فیشینگ استفاده شده است. این پیامها حاوی لینکهایی به سرویسهای قانونی مانند DropMeFiles و Google Drive هستند. در برخی موارد، این لینکها درون فایلهای PDF قرار گرفتهاند.
این پیامهای دیجیتالی با ایجاد حس ضروریت کاذب سعی داشتند گیرنده را فریب دهند؛ برای مثال ادعا میکردند که یکی از نهادهای دولتی اوکراین قصد دارد حقوق کارکنان را کاهش دهد و از گیرنده میخواستند برای مشاهده لیست افراد تحت تأثیر، روی لینک کلیک کند.
باز کردن این لینکها منجر به دانلود یک لودر VBS (اسکریپت ویژوال بیسیک) میشود که به گونهای طراحی شده تا یک اسکریپت PowerShell را دریافت و اجرا کند. این اسکریپت توانایی جمعآوری فایلها با پسوندهای خاص و گرفتن اسکرینشات از سیستم قربانی را دارد.
این فعالیت به یک عامل تهدید با شناسه UAC-0219 نسبت داده شده و گفته میشود که دستکم از پاییز ۲۰۲۴ تاکنون ادامه دارد. نسخههای اولیه این حملات ترکیبی از فایلهای اجرایی EXE، یک VBS رباینده اطلاعات و یک نرمافزار ویرایش تصویر قانونی به نام IrfanView برای رسیدن به اهداف خود استفاده میکردهاند.
CERT-UA نام WRECKSTEEL را برای لودر VBS و بدافزار PowerShell انتخاب کرده است. این حملات به هیچ کشور خاصی نسبت داده نشدهاند.
دیگر حملات فیشینگ مرتبط با جنگ اوکراین
این حملات سایبری پس از کشف کمپین فیشینگ دیگری رخ دادهاند که نهادهای مرتبط با حوزه دفاعی و هوافضای اوکراین را هدف قرار داده است. این کمپین شامل تعدادی سرور ایمیل است که هر کدام مجموعهای از دامنهها را پشتیبانی میکنند. این دامنهها بهگونهای طراحی شدهاند که سازمانهای خاصی را جعل هویت می کنند و صفحات ورود به وبمیل را میزبانی میکنند که احتمالاً برای سرقت اطلاعات ورود قربانیان طراحی شدهاند.
تیم تحقیقات DomainTools در رابطه با این حمله گفته است که دامنههایی مانند kroboronprom[.]com که شبیه به دامنه واقعی شرکت اوکراینی Ukroboronprom است، بهعنوان بخشی از این زیرساخت شناسایی شدهاند. این دامنهها صفحات ورود به وبمیل را میزبانی میکنند که با استفاده از نرمافزار منبعباز Mailu ساخته شدهاند.
مهاجمان احتمالاً ایمیلهای فیشینگ را به کارکنان سازمانهای هدف ارسال کردهاند. این ایمیلها ممکن است حاوی لینکها یا پیوستهای مخربی باشند که گیرندگان را به صفحات ورود جعلی برای سرقت اطلاعات ورود هدایت میکنند.
تمرکز روی جعل هویت سازمانهایی که در حوزه دفاعی و زیرساخت مخابراتی اوکراین فعالیت دارند، نشاندهنده نیت مهاجمان برای جمعآوری اطلاعات مربوط به جنگ اوکراین است. قابلتوجه است که بسیاری از شرکتهای جعلشده در زمینه دفاعی، هوافضا و فناوری اطلاعات، از تلاشهای نظامی اوکراین در این درگیری حمایت کردهاند.
حملات مشابه در جنگ اوکراین و روسیه
گروههای نفوذ وابسته به روسیه مانند UAC-0050 و UAC-0006 نیز از آغاز سال ۲۰۲۵ کمپینهایی با انگیزه مالی و جاسوسی راهاندازی کردهاند. این کمپینها عمدتاً نهادهای دولتی، دفاعی، انرژی و سازمانهای غیردولتی را هدف قرار دادهاند و بدافزارهایی مانند sLoad، Remcos RAT، NetSupport RAT و SmokeLoader را توزیع کردهاند.
در همین حین، شرکت Kaspersky هشدار داده که گروه تهدیدی با نام Head Mare چندین نهاد روسی را هدف حمله قرار داده است. این گروه از بدافزاری به نام PhantomPyramid استفاده کرده که توانایی دریافت دستور از سرور فرمان و کنترل (C2) را دارد و همچنین میتواند پیلودهای مخرب اضافی مانند MeshAgent را بارگیری و اجرا کند.
شرکتهای انرژی روسیه، بنگاههای صنعتی و تأمینکنندگان و توسعهدهندگان قطعات الکترونیکی نیز هدف حملات فیشینگ قرار گرفتهاند. این حملات توسط گروهی با نام Unicorn انجام شده که از یک تروجان VBS با هدف سرقت فایلها و تصاویر از میزبان آلوده استفاده کردهاند.
اواخر ماه گذشته، آزمایشگاه SEQRITE اعلام کرد که شبکههای دانشگاهی، دولتی، هوافضا و دفاعی روسیه هدف یک حمله به نام Operation HollowQuill قرار گرفتهاند. به نظر میرسد این حملات از حدود دسامبر ۲۰۲۴ آغاز شدهاند. مهاجمان در این کمپین با ترفندهای مهندسی اجتماعی، فایلهای PDF آلوده را در قالب دعوتنامههای تحقیقاتی یا اطلاعیههای رسمی دولتی ارائه دادهاند تا کاربران بیاطلاع را به فعالسازی زنجیره حمله ترغیب کنند. به گفته یک محقق امنیتی، عامل تهدید، یک فایل مخرب RAR ارسال میکند که حاوی دراپر بدافزار نوشته شده با .NET است. این دراپر سپس یک لودر شلکد مبتنی بر Golang را بههمراه نرمافزار رسمی OneDrive و یک PDF فریبنده که حامل نهایی بدافزار Cobalt Strike است، اجرا میکند.
