För bara en vecka sedan varnade ukrainska myndigheter för att den ryska hackargruppen kallad Sandworm genomför phishingkampanjer som utnyttjar säkerhetshålet Follina i Windows. Nu går Ukrainas cert ut med en ny varning om en liknande kampanj, rapporterar Bleeping Computer.
Den här gången är det dock inte Sandworm som ligger bakom, utan en annan välkänd statsstöd rysk hotaktör. Gruppen har beteckningen ATP28 men kallas också för Fancy Bear eller Strontium och har varit aktiv i 15 år.
Den senaste kampanjen skickar mejl med ett bifogat dokument som varnar för kärnvapen: ”Nuclear Terrorism A Very Real Threat.rtf”. Rtf-dokumentet utnyttjar Follina för att ladda ner och köra skadeprogrammet Credomap på offrets enhet. Credomap klassificeras av antivirusleverantörer som en lösenordsstjälande trojan.
Ukrainas cert varnar samtidigt för en annan, separat kampanj, som utnyttjar samma säkerhetshål för att köra det offensiva cyberverktyget Cobalt Strike mot offret.
Läs också: Microsoft släpper patch mot säkerhetshålet Follina – har använts i attacker mot Ukraina
