در چندین تلاش تهاجمی فیشینگ، سازمان با انگیزه مالی UAC-0006 به شدت اوکراین را هدف قرار داد و از پیوست‌های ZIP و RAR برای توزیع بدافزار SMOKELOADER استفاده کرد.جدیدترین حملات شامل ایمیل‌هایی است که فایل‌های مایکروسافت اکسس و بایگانی‌های ZIP را حمل می‌کنند که پس از باز شدن، بدافزارهای مسلح‌شده را روی سیستم‌های در معرض خطر نصب می‌کنند، مانند RMS و TALESHOT.

تیم دولتی واکنش اضطراری کامپیوتری اوکراین، CERT-UA، این فعال سازی قابل توجه گروه با انگیزه مالی UAC-0006 را مشاهده کرد.

مروری بر فعالیت های اخیر برای UAC-0006

طبق گزارشات CERT-UA، مهاجمان حداقل دو کمپین را برای انتشار بدافزار SMOKELOADER از 21 می 2024 راه اندازی کرده اند.بدافزار SmokeLoader بیشتر دستگاه های مبتنی بر ویندوز را تحت تأثیر قرار می دهد. SmokeLoader سعی می‌کند تا بدافزارهای دیگری (مانند باج‌افزارها، cryptominers یا دزدهای رمز عبور) را پس از آلوده کردن رایانه روی آن نصب کند. همچنین ممکن است فایل‌ها را خراب کند، اطلاعات محرمانه را بدزدد و مشکلات دیگری ایجاد کند.

حملات اخیر شامل ایمیل هایی با آرشیو ZIP است که ممکن است شامل موارد زیر باشد:

– فایل.IMG حاوی فایل های EXE است.
– اسناد Microsoft Access (ACCDB) با ماکروهایی که فرمان PowerShell را برای دانلود و راه‌اندازی فایل EXE تضمین می‌کنند، اجرا می‌شوند.
مانند قبل، RMS، TALESHOT و سایر برنامه های مخرب پس از یک حمله اصلی که موفقیت آمیز است، در دستگاه بارگذاری می شوند.در حال حاضر صدها رایانه شخصی در معرض خطر در شبکه ربات هستند. CERT-UA پیش بینی می کند که به زودی کلاهبرداری از طریق سیستم های بانکی از راه دور افزایش یابد.

توصیه

بنابراین، توصیه می‌شود مدیران شرکت‌ها در اسرع وقت به افزایش امنیت فضاهای کاری حسابداری خودکار توجه داشته باشند. این را می توان با بررسی نشانه های ارائه شده از سازش و اطمینان از استفاده از سیاست ها و مکانیسم های حفاظتی مناسب انجام داد.SOC Prime Platform الگوریتم‌های تشخیص نظارت شده و آزمایش‌شده را برای کمک به مدافعان در جلوگیری از حملات مرتبط با فعالیت دشمن UAC-0006 ارائه می‌کند که در آخرین اطلاعیه CERT-UA شرح داده شده است