Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) зафиксировала кампанию целенаправленного фишинга. Были атакованы почтовые ящики, принадлежащие украинским военнослужащим. ИБ-эксперты связали эти атаки с хак-группой UNC1151, которую специалисты из Mandiant в свою очередь связывают с военным командованием Беларуси.
После взлома аккаунта атакующие получали доступ ко всей корреспонденции жертвы по протоколу IMAP. Скомпрометированные учётные записи использовались для дальнейшей отправки фишинговых сообщений — теперь уже контактам в адресных книгах жертв.
Письма рассылаются с доменов (i[.]ua-passport[.]space и id[.]bigmir[.]space) — первый мимикрирует под бесплатный интернет-портал i.ua, предоставляющий услуги электронной почты в стране с 2008 года.
В тексте же послания предлагается перейти по ссылке, чтобы подтвердить свою контактную информацию и избежать блокировки аккаунта электронной почты.
