به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، برای دسترسی به سیستم قربانیان، هکرها ایمیلهای مخرب را بهعنوان درخواستهای رسمی از سوی سرویس امنیتی اوکراین (SBU) جعل میکنند.
این ایمیلها حاوی یک فایل با فرمت زیپ (.zip) هستند که پس از باز شدن، بدافزاری به نام ANONVNC را راهاندازی میکند.
به گفته تیم واکنش اضطراری رایانهای اوکراین (CERT-UA)، این بدافزار دربپشتی بر اساس کد منبعباز مدیریت از راه دور به نام مش ایجنت (MeshAgent) ساخته شده است.
تیم واکنش اضطراری رایانهای اوکراین عامل تهدید پشت این کمپین را بهعنوان UAC-0198 ردیابی میکند، اما جزئیاتی درباره منشأ آن ارائه نکرده است.
از ژوئیه 2024، این گروه بیش از 100 رایانه را به این بدافزار آلوده کرده است، از جمله رایانههایی که توسط آژانسهای دولتی استفاده میشوند.
تیم واکنش اضطراری رایانهای اوکراین اشاره کرده که جغرافیای حملات ممکن است گستردهتر نیز باشد.
این گزارش هدف کمپین یا میزان آسیبی که هکرها به رایانههای قربانیان وارد کردهاند را مشخص نکرده است.
تیم واکنش اضطراری رایانهای اوکراین اعلام کرده که اقدامات فوری را برای کاهش احتمال حملات بیشتر به سیستمهای آلوده به ANONVNC انجام داده است.
بر اساس تجزیه و تحلیل شرکت امنیت سایبری مالور بایتس (MalwareBytes)، مش ایجنت میتواند به روشهای مختلفی به سیستمها نفوذ کند که اغلب از طریق کمپینهای ایمیلی حاوی ماکروهای مخرب انجام میشود.
مش ایجنت با یک ابزار مدیریت از راه دور دیگر به نام مش سنترال (MeshCentral) مرتبط است.
در اوایل ژوئیه، پژوهشگران اوکراینی گزارش دادند که یک کمپین سرقت اطلاعات را کشف کردهاند که خوانندگان وبسایت خبری محبوب اوکراین، Ukr.net، را هدف قرار داده است.
در این کمپین، عامل تهدید با شناسه UAC-0102 یک نسخه جعلی از وبسایت ایجاد کرده تا اطلاعات شخصی کاربران را جمعآوری کرده و سیستمهای آنها را به بدافزار آلوده کند.
در کمپین دیگری در ژوئیه، یک گروه هکری مظنون به حمایت دولتی بلاروس به نام گوست رایتر (GhostWriter)، سازمانها و آژانسهای دولتی محلی اوکراین را با بدافزاری به نام پیکاسو لودر (PicassoLoader) هدف قرار داد.
پژوهشگران معتقدند این گروه ممکن است به شاخصهای مالی و اقتصادی اوکراین، مالیات، و همچنین اصلاحات در نهادهای خودگردانی محلی علاقهمند باشند.
