С момента начала спецоперации было зафиксировано по меньшей мере 6 вредоносных кампаний, нацеленных на украинские организации.
Исследователи IBM собрали доказательства, указывающие на то, что российская группировка TrickBot (она же Wizard Spider , DEV-0193, ITG23) систематически атакует Украину с самого начала спецоперации. С середины апреля по середину июня 2022 года операторы Trickbot провели как минимум шесть атак против организаций в Украине. Эксперты заметили, что хакеры использовали несколько вредоносных программ – IcedID , Cobalt Strike , AnchorMail и Meterpreter. Исследователи отметили и тот факт, что группировка TrickBot не нападала на Украину до начала спецоперации, а используемые операторами TrickBot вредоносные программы были настроены таким образом, чтобы не выполняться на системах, использующих украинский язык.
"Кампании ITG23 против Украины примечательны тем, что они сильно отличаются от предыдущих атак и направлены именно на Украину", – говорится в отчете , опубликованном IBM Security X-Force. "Систематические атаки, наблюдаемые против Украины, включают зарегистрированные и предполагаемые фишинговые атаки против украинских государственных органов, частных лиц, организаций и населения".
Результатом многочисленных атак операторов TrickBot стала кража конфиденциальных данных, а также распространение вымогательского ПО, наносящего ущерб экономике Украины.
В некоторых атаках хакеры использовали Excel-документ под названием Nuclear.xls. После открытия документ загружал самораспаковывающийся WinRAR-архив, который устанавливал в системе жертвы бэкдор AnchorMail. Еще одной новинкой в атаках TrickBot стал новый шифровальщик Forest, использующийся для уклонения от систем безопасности, нацеленных на маячки Cobalt Strike.
Одно найти легче, чем другое. Спойлер: это не темная материя