Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã cảnh báo về các cuộc tấn công mạng nhắm vào lực lượng phòng thủ ở nước này bằng một phần mềm độc hại có tên SPECTR như một phần của chiến dịch gián điệp có tên SickSync.
Cơ quan này cho rằng các cuộc tấn công là do một tác nhân đe dọa mà họ theo dõi dưới biệt danh UAC-0020, còn được gọi là Vermin và được đánh giá là có liên quan đến các cơ quan an ninh của Cộng hòa Nhân dân Luhansk (LPR). LPR được Nga tuyên bố là quốc gia có chủ quyền vài ngày trước khi nước này xâm lược Ukraine vào tháng 2/2022.
Chuỗi tấn công bắt đầu với các email lừa đảo có chứa tệp lưu trữ tự giải nén RAR chứa tệp PDF mồi nhử, phiên bản trojan của ứng dụng SyncThing kết hợp tải trọng SPECTR và tập lệnh hàng loạt kích hoạt nhiễm trùng bằng cách khởi chạy tệp thực thi.
SPECTR phục vụ như một kẻ đánh cắp thông tin bằng cách lấy ảnh chụp màn hình cứ sau 10 giây, thu thập tệp, thu thập dữ liệu từ ổ USB di động và đánh cắp thông tin đăng nhập và từ các trình duyệt web và ứng dụng như Element, Signal, Skype và Telegram.
SickSync đánh dấu sự trở lại của nhóm Vermin sau một thời gian dài vắng bóng, trước đó đã được quan sát thấy dàn dựng các chiến dịch lừa đảo nhằm vào các cơ quan nhà nước của Ukraine để triển khai phần mềm độc hại SPECTR vào tháng 3/2022. SPECTR được biết là đã được nam diễn viên sử dụng từ năm 2019.
Vermin cũng là tên được gán cho một trojan truy cập từ xa .NET đã được sử dụng để nhắm mục tiêu các tổ chức chính phủ Ukraine khác nhau trong gần tám năm. Nó lần đầu tiên được báo cáo công khai bởi Palo Alto Networks Unit 42 vào tháng 1 năm 2018, với một phân tích tiếp theo từ ESET theo dõi hoạt động của kẻ tấn công trở lại tháng 10 năm 2015.
Tiết lộ được đưa ra khi CERT-UA cảnh báo về các cuộc tấn công kỹ thuật xã hội tận dụng ứng dụng nhắn tin tức thời Signal như một vectơ phân phối để cung cấp một trojan truy cập từ xa được gọi là DarkCrystal RAT (hay còn gọi là DCRat). Chúng đã được liên kết với một cụm hoạt động có tên mã là UAC-0200.
Nó cũng theo sau việc phát hiện ra một chiến dịch phần mềm độc hại được thực hiện bởi các tin tặc được nhà nước Belarus tài trợ được gọi là GhostWriter (hay còn gọi là UAC-0057 và UNC1151) sử dụng các tài liệu Microsoft Excel bị mắc kẹt trong các cuộc tấn công nhằm vào Bộ Quốc phòng Ukraine.