Исследователи кибербезопасности обнаружили новую операцию влияния, нацеленную на Украину, которая использует спам-письма для распространения дезинформации, связанной с войной.
Словацкая компания ESET по кибербезопасности связала эту деятельность со связанными с Россией субъектами угроз, которая также выявила фишинговую кампанию, направленную против украинского оборонного предприятия в октябре 2023 года и агентства Европейского Союза в ноябре 2023 года с целью получения учетных данных для входа в Microsoft с использованием поддельных целевых страниц.
Операция Texonto, как получила кодовое название вся кампания, не была приписана конкретному субъекту угрозы, хотя некоторые ее элементы, в частности фишинговые атаки, пересекаются с COLDRIVER, который имеет историю сбора учетных данных через поддельные страницы входа.
Операция по дезинформации проводилась двумя волнами в ноябре и декабре 2023 года, при этом сообщения электронной почты содержали вложения в формате PDF и содержание, связанное с перебоями в отоплении, нехваткой лекарств и продовольствия.
Ноябрьская волна была нацелена не менее чем на несколько сотен получателей в Украине, включая правительство, энергетические компании и частных лиц. В настоящее время неизвестно, как был составлен целевой список.
"Интересно отметить, что электронное письмо было отправлено с домена, маскирующегося под Министерство аграрной политики и продовольствия Украины, в то время как содержание касается нехватки лекарств, а в PDF-файле неправильно используется логотип Министерства здравоохранения Украины", - говорится в отчете ESET, опубликованном в Hacker News.
"Возможно, это ошибка злоумышленников или, по крайней мере, показывает, что их не волновали все детали".
Вторая кампания по рассылке дезинформационных писем, начавшаяся 25 декабря 2023 года, примечательна тем, что ее таргетинг выходит за пределы Украины и охватывает говорящих на украинском языке в других европейских странах, поскольку все сообщения составлены на украинском языке.
Эти сообщения, в то время как они желают получателям счастливого сезона отпусков, также приняли более мрачный тон, вплоть до предложения ампутировать им одну из рук или ног, чтобы избежать развертывания вооруженных сил. "Пара минут боли, но потом счастливая жизнь!", - говорится в электронном письме.
ESET сообщила, что один из доменов, используемых для распространения фишинговых электронных писем в декабре 2023 года, infonotification [.]com, также участвовал в рассылке сотен спам-сообщений, начиная с 7 января 2024 года, перенаправляя потенциальных жертв на поддельный веб-сайт канадской аптеки.
Совершенно неясно, почему этот почтовый сервер был перепрофилирован для распространения аптечной аферы, но есть подозрение, что злоумышленники решили монетизировать свою инфраструктуру для получения финансовой выгоды после того, как поняли, что их домены были обнаружены защитниками.
"Операция Texonto демонстрирует еще одно использование технологий для попытки повлиять на ход войны", - заявили в компании.
Развитие событий происходит после того, как Meta в своем ежеквартальном отчете о противоборствующих угрозах сообщила, что отключила три сети на своих платформах, происходящие из Китая, Мьянмы и Украины, которые занимались скоординированным недостоверным поведением (CIB).
Хотя ни одна из сетей не была из России, аналитическая компания Graphika по социальным сетям сообщила, что объем публикаций в российских государственных СМИ снизился на 55% по сравнению с довоенным уровнем, а вовлеченность упала на 94% по сравнению с двумя годами назад.
"Российские государственные СМИ с начала войны усилили свое внимание к неполитическому информационно-развлекательному контенту и саморекламе о России", - говорится. "Это может отражать более широкие внеплатформенные усилия по обслуживанию внутренней российской аудитории после того, как несколько западных стран заблокировали торговые точки в 2022 году".
