Ukrainas regeringsdokumentportal lider av cyberattack

I slutet av februari 2021 rapporterade den ukrainska regeringen en cyberattack mot infrastruktur för delning av regeringsdokument. Landets cybersäkerhetscenter uppgav att "metoderna och medlen" för attacken föreslår involvering av en "hackerspiongrupp" med ursprung i Ryssland.

Attacken riktades mot System of Electronic Interaction of Executive Bodies, en ukrainsk webbportal som används för att dela dokument mellan regeringsorgan och offentliga myndigheter.

Ukrainska myndigheter upptäckte skadliga dokument som laddats upp på portalen som innehöll makron. Detta är inte ett ovanligt eller särskilt nytt angreppssätt, men tyvärr en som fortfarande fungerar ganska bra.

När ett skadligt dokument har öppnats ber det användaren att tillåta att makro körs. Om tillstånd ges, skulle makroskriptet tyst ladda ner den verkliga nyttolasten för vilken skadlig kod som de dåliga aktörerna bakom attacken har förberett.

Denna typ av attackvektor kan användas för att distribuera alla sätt av nyttastegs laster, från trojaner och bakdörrar till informationskrapor, nyckelloggare och ransomware.

De ukrainska myndigheterna namngav inte någon särskild instans eller grupp som har ett kodifierat namn, men sa att attacken innehöll ett antal kompromissindikatorer, inklusive domänen enterox.ru, samt en IP-adress och en PHP-sida värd den .

Baserat på forskning som utförts av ZDNet-säkerhetsteamet antydde domännamnet sannolikt att attacken är kopplad till Gamaredon APT. Gamaredon anses vara en statssponserad grupp hackare, som verkar från Ryssland, som har inlett attacker på ukrainska nätverk tidigare.

Några dagar före tillkännagivandet av denna attack rapporterade ukrainska myndigheter också att ryska dåliga aktörer riktade sig mot ett antal olika ukrainska institutioner, inklusive landets säkerhetstjänstwebbplats, med distribuerad förnekelse av tjänsteattacker.