Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) зафиксировала кампанию целенаправленного фишинга. Были атакованы почтовые ящики, принадлежащие украинским военнослужащим. ИБ-эксперты связали эти атаки с хак-группой UNC1151, которую специалисты из Mandiant  в свою очередь связывают с военным командованием Беларуси.

После взлома аккаунта атакующие получали доступ ко всей корреспонденции жертвы по протоколу IMAP. Скомпрометированные учётные записи использовались для дальнейшей отправки фишинговых сообщений — теперь уже контактам в адресных книгах жертв.

Письма рассылаются с доменов (i[.]ua-passport[.]space и id[.]bigmir[.]space) — первый мимикрирует под бесплатный интернет-портал i.ua, предоставляющий услуги электронной почты в стране с 2008 года.

В тексте же послания предлагается перейти по ссылке, чтобы подтвердить свою контактную информацию и избежать блокировки аккаунта электронной почты.