【安全资讯】攻击者利用 IcedID 恶意软件和 Zimbra 漏洞攻击乌克兰政府

乌克兰计算机应急响应小组 (CERT-UA) 检测到了一个分发名为“Mobilization Register.xls”的 XLS 文档的大规模恶意活动，用户如果打开文档并点击“启用内容”进行查看，则会执行恶意宏以下载和运行恶意文件。该文件是 GzipLoader 恶意软件，它会获取、解密并执行最终的有效负载IcedID（又名 BankBot）。CERT-UA将此次IcedID网络钓鱼攻击以中等置信度归因于UAC-0041组织。

在另一份报告中，CERT-UA披露了黑客利用 Zimbra Collaboration Suite 中的 XSS 漏洞，针对乌克兰政府组织的攻击活动。活动中涉及一封发送给乌克兰政府机构的电子邮件，其中附有据称来自乌克兰总统泽连斯基为武装部队成员颁发勋章的图片。附加图像中的“内容位置”标题链接到托管 JavaScript 代码的 Web 资源，该代码触发了对Zimbra CVE-2018-6882漏洞的利用。根据主题、内容、信件的附件以及收件人，CERT-UA将检测到的活动作为“UAC-0097”组织跟踪。