La popolazione ucraina vittima di spear phishing: pratiche di evacuazione utilizzate come esca

Nel corso dei bombardamenti delle città ucraine da parte dell’esercito russo, alcuni attori russi avrebbero inviato, tramite email destinate ad enti pubblici e privati ucraini, allegati con titoli come “Cosa fare durante i bombardamenti di artiglieria con sistemi di fuoco a raffica?” e “Piani di evacuazione”. A dichiararlo è una nuova ricerca pubblicata da Mandiant Threat Intelligence.

LEGGI ANCHE > A Google è arrivata una multa da 387 milioni di dollari dalla Russia

La nuova ricerca di Mandiant: popolazione ucraina vittima di spear phishing

Queste operazioni, che secondo Mandiant sono state svolte tra la fine di febbraio e marzo 2022, sarebbero state progettate per ottenere l’accesso a network d’interesse. Tuttavia, le attività successive pianificate restano poco chiare, a seconda se i tentativi di intrusione vadano o meno a buon fine. UNC1151, un gruppo apparentemente sponsorizzato dalla Bielorussia, ha preso attivamente di mira l’Ucraina a partire dall’invasione da parte della Russia. UNC2589, che agirebbe a sostegno degli interessi del governo russo, avrebbe condotto vaste campagne di spionaggio, tra cui gli attacchi dirompenti del 14 gennaio con PAYWIPE (WHISPERGATE). UNC1151 e UNC2589 sono dunque sospettati di usare il phishing con documenti dannosi che portano a catene di infezione da malware. Gli indicatori utilizzati in queste operazioni sono stati rilasciati da US CYBERCOMMAND, sottolinea Mediant. «Dall’inizio dell’invasione russa, entità pubbliche e private ucraine sono state prese di mira da più gruppi di spionaggio informatico. Questo blog approfondisce due operazioni da UNC2589 e un’operazione da cluster probabilmente correlati a UNC1151 . Sebbene questi gruppi abbiano sponsor e obiettivi distinti, le operazioni descritte qui sono accomunate dall’uso di documenti di richiamo sulla sicurezza pubblica per invogliare le vittime ad aprire l’allegato di spear phishing», si legge sul sito. La popolazione ucraina è stata, secondo la ricerca di Mandiant, vittima di spear phishing tramite documenti umanitari e relativi a pratiche di evacuazione, utilizzati come esca.