El 7 de marzo de 2022, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) emite una advertencia urgente que detalla una campaña de phishing continuo ejecutada contra correos electrónicos privados de funcionarios ucranianos, incluido el personal de las fuerzas armadas ucranianas, denominado MicroBackdoor el cual se le atribuye la operación maliciosa al grupo UNC1151 APT (UAC-0051) de origen bielorruso.
Según la inteligencia recopilada por la agencia, los correos electrónicos de phishing contienen un archivo llamado ‘dovidka.zip’, que contiene un archivo de ayuda contextual (Microsoft Compiled HTML Help) ‘dovidka.chm’.
El archivo contenía la imagen de cebo ‘image.jpg’, que según CERT-UA era información sobre el procedimiento para frecuentes bombardeos de artillería, y el archivo HTA ‘file.htm’ que contenía código malicioso en VBScript. Cabe destacar que si se ejecuta este código malicioso, daría como resultado la ejecución del cuentagotas ‘ignit.vbs’, que decodificará el cargador .NET ‘core.dll’, y luego ejecutará el malware MicroBackdoor.
Al menos 30 sitios web de universidades ucranianas también fueron pirateados en un ataque dirigido presuntamente realizado por actores de amenazas identificados como el ‘Grupo de los Lunes’, que supuestamente ha apoyado públicamente las acciones recientes de Rusia pero… aun asi no sabemos si van a expandirse a otros lugares.
El grupo, cuyos miembros se refieren a sí mismos como ‘los Mx0nday’, se ha dirigido a los sitios alojados en WordPress más de 100.000 veces desde la invasión por lo que se deben de tomar medidas de seguridad.