I ricercatori della società di sicurezza informatica Proofpoint hanno scoperto una campagna di phishing, denominata Asylum Ambuscade, che sta prendendo di mira il personale del governo europeo coinvolto nella gestione della logistica dei rifugiati in fuga dall’Ucraina.
La campagna di phishing è sponsorizzata da uno stato nazionale utilizzando l’account e-mail che sembra appartenere a un membro delle forze armate ucraine forse compromesso.
La scoperta arriva sulla scia degli avvisi dal Computer Emergency Response Team ucraino (CERT-UA) e dal Servizio statale per le comunicazioni speciali e la protezione dell’informazione dell’Ucraina sulle diffuse campagne di phishing rivolte agli account di posta elettronica privati dei membri delle forze armate ucraine da parte di “UNC1151”, che Proofpoint tiene traccia come parte di TA445. L’e-mail osservata da Proofpoint potrebbe rappresentare la fase successiva di questi attacchi.
L’e-mail includeva un allegato macro dannoso che tentava di scaricare un malware basato su Lua chiamato SunSeed e prendeva di mira il personale del governo europeo incaricato di gestire i trasporti e il movimento della popolazione in Europa.
L’allegato macro dannoso ha utilizzato come esca temi di ingegneria sociale relativi alla riunione di emergenza del Consiglio di sicurezza della NATO tenutasi il 23 febbraio 2022.
La catena di infezione utilizzata in questa campagna presenta somiglianze significative con una campagna storica Proofpoint osservata nel luglio 2021, il che rende probabile che lo stesso attore di minacce sia dietro entrambi i gruppi di attività.
“Questa attività, indipendente dalle conclusioni di attribuzione, rappresenta uno sforzo per prendere di mira entità NATO con account militari ucraini compromessi durante un periodo attivo di conflitto armato tra la Russia, i suoi delegati e l’Ucraina. Nel pubblicare questo rapporto, Proofpoint cerca di bilanciare l’accuratezza del reporting responsabile con la divulgazione più rapida possibile di informazioni utili”. “Inoltre, la possibilità di sfruttare l’intelligence sui movimenti di profughi in Europa a fini di disinformazione è una parte comprovata delle tecniche degli stati russi e bielorussi”, si legge nel report.