هکرها از اسناد مایکروسافت اکسس برای اجرای برنامه های مخرب استفاده میکنند
در چندین تلاش تهاجمی فیشینگ، سازمان با انگیزه مالی UAC-0006 به شدت اوکراین را هدف قرار داد و از پیوستهای ZIP و RAR برای توزیع بدافزار SMOKELOADER استفاده کرد.جدیدترین حملات شامل ایمیلهایی است که فایلهای مایکروسافت اکسس و بایگانیهای ZIP را حمل میکنند که پس از باز شدن، بدافزارهای مسلحشده را روی سیستمهای در معرض خطر نصب میکنند، مانند RMS و TALESHOT.
تیم دولتی واکنش اضطراری کامپیوتری اوکراین، CERT-UA، این فعال سازی قابل توجه گروه با انگیزه مالی UAC-0006 را مشاهده کرد.
مروری بر فعالیت های اخیر برای UAC-0006
طبق گزارشات CERT-UA، مهاجمان حداقل دو کمپین را برای انتشار بدافزار SMOKELOADER از 21 می 2024 راه اندازی کرده اند.بدافزار SmokeLoader بیشتر دستگاه های مبتنی بر ویندوز را تحت تأثیر قرار می دهد. SmokeLoader سعی میکند تا بدافزارهای دیگری (مانند باجافزارها، cryptominers یا دزدهای رمز عبور) را پس از آلوده کردن رایانه روی آن نصب کند. همچنین ممکن است فایلها را خراب کند، اطلاعات محرمانه را بدزدد و مشکلات دیگری ایجاد کند.
حملات اخیر شامل ایمیل هایی با آرشیو ZIP است که ممکن است شامل موارد زیر باشد:
– فایل.IMG حاوی فایل های EXE است.
– اسناد Microsoft Access (ACCDB) با ماکروهایی که فرمان PowerShell را برای دانلود و راهاندازی فایل EXE تضمین میکنند، اجرا میشوند.
مانند قبل، RMS، TALESHOT و سایر برنامه های مخرب پس از یک حمله اصلی که موفقیت آمیز است، در دستگاه بارگذاری می شوند.در حال حاضر صدها رایانه شخصی در معرض خطر در شبکه ربات هستند. CERT-UA پیش بینی می کند که به زودی کلاهبرداری از طریق سیستم های بانکی از راه دور افزایش یابد.
توصیه
بنابراین، توصیه میشود مدیران شرکتها در اسرع وقت به افزایش امنیت فضاهای کاری حسابداری خودکار توجه داشته باشند. این را می توان با بررسی نشانه های ارائه شده از سازش و اطمینان از استفاده از سیاست ها و مکانیسم های حفاظتی مناسب انجام داد.SOC Prime Platform الگوریتمهای تشخیص نظارت شده و آزمایششده را برای کمک به مدافعان در جلوگیری از حملات مرتبط با فعالیت دشمن UAC-0006 ارائه میکند که در آخرین اطلاعیه CERT-UA شرح داده شده است