Malwarecampagne richt pijlen op ambtenaren die Oekraïners helpen

De malware wordt verspreid via een phishingcampagne die afkomstig is van wat een gestolen e-mailadres van een Oekraïense strijder lijkt te zijn, zo schrijft Proofpoint op zijn website. Deze phishingcampagne maakt slim gebruik van eerder nieuws: op 23 februari kwam de Security Council van de NAVO bijeen. Een paar dagen eerder verschenen er berichten over een 'kill list' met daarop Oekraïners, die de Russische overheid zou hebben. De phishingcampagne speelt daar op in door de bijeenkomst van de Security Council te noemen in het onderwerp van de e-mail. Die luidt: "IN ACCORDANCE WITH THE DECISION OF THE EMERGENCY MEETING OF THE SECURITY COUNCIL OF UKRAINE DATED 24.02.2022".

Bij de mail zit een XLS-bestand, dat de naam 'list of persons.xlsx' bevat. In dat bestand blijkt SunSeed-malware te zitten, dat ervoor zorgt dat aanvallers meer malware kunnen installeren op de geïnfecteerde PC. 

Door staat gesponsorde aanval

De onderzoekers van Proofpoint stellen dat de campagne waarschijnlijk uitgevoerd wordt door staatsgesponsorde cybercriminelen. Welk land erachter zit, weten de onderzoekers niet. Maar ze halen wel aan dat de aanval vergelijkbaar is met campagnes die de groep Ghostwriter - ook bekend als TA445 en UNC1151 - uitvoerde. Ghostwriter zou voor Wit-Rusland werken. 

De onderzoekers vermoeden dat de campagne waarschijnlijk als doel heeft om informatie rondom de bewegingen van Oekraïense vluchtelingen te verzamelen. Daarnaast wordt mogelijk informatie verzameld over zaken die belangrijk zijn voor de Russische overheid.