Нови варианти на руския шпионския софтуер Gamaredon’s са насочени към Украйна

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално руския държавно-спонсориран участник в заплахи, известен като Gamaredon, за целенасочените му кибератаки срещу публични органи и критична информационна инфраструктура в страната.

Усъвършенстваната постоянна заплаха, известна още като Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, има опит в нанасянето на удари по украински структури още от 2013 г.

„Текущата дейност на групата UAC-0010 се характеризира с многоетапен подход за изтегляне и изпълнение на полезните товари на шпионския софтуер, използвани за поддържане на контрол върху заразените хостове“, заявиха от SCPC. „Засега групата UAC-0010 използва в кампаниите си шпионски софтуер GammaLoad и GammaSteel.“

GammaLoad е зловреден софтуер VBScript dropper, създаден да изтегля следващ етап на VBScript от отдалечен сървър. GammaSteel е PowerShell скрипт, който може да извършва разузнаване и да изпълнява допълнителни команди.

Целта на атаките е насочена по-скоро към шпионаж и кражба на информация, отколкото към саботаж, отбелязва агенцията. ГДБОП също така подчерта „настойчивата“ еволюция на тактиката на групировката чрез преработване на нейния набор от инструменти за зловреден софтуер, за да остане под радара, като нарече Gamaredon „ключова киберзаплаха“.

Веригите от атаки започват с фишинг имейли, съдържащи RAR архив, който при отваряне активира дълга последователност, състояща се от пет междинни етапа – LNK файл, HTA файл и три VBScript файла, които в крайна сметка завършват с доставката на полезен товар на PowerShell.

Информацията, отнасяща се до IP адреса на сървърите за командване и контрол (C2), се публикува в периодично ротирани канали на Telegram, което потвърждава доклад от BlackBerry от края на миналия месец.

Всички анализирани VBScript дропъри и PowerShell скриптове, според SCPC, са варианти съответно на зловредния софтуер GammaLoad и GammaSteel, което ефективно позволява на противника да ексфилтрира чувствителна информация.

Разкритието идва в момент, когато екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) разкри подробности за нова злонамерена кампания, насочена към държавните органи на Украйна и Полша.

Атаките са под формата на сходни уебстраници, които се представят за Министерството на външните работи на Украйна, Службата за сигурност на Украйна и Полската полиция (Policja) в опит да подмамят посетителите да изтеглят софтуер, за който се твърди, че открива заразени компютри.

При стартиране на файла – пакетния скрипт на Windows с име „Protector.bat“ – обаче той води до изпълнение на скрипт на PowerShell, който е в състояние да заснема екранни снимки и да събира файлове с 19 различни разширения от работната станция.

CERT-UA приписва операцията на участник в заплахата, когото нарича UAC-0114, който е известен също като Winter Vivern – клъстер за дейност, който в миналото е използвал въоръжени документи на Microsoft Excel, съдържащи макроси XLM, за да разгръща импланти PowerShell на компрометирани хостове.

Нахлуването на Русия в Украйна през февруари 2022 г. беше допълнено от целенасочени фишинг кампании, разрушителни удари със зловреден софтуер и разпределени атаки за отказ на услуга (DDoS).

Фирмата за киберсигурност Trellix заяви, че през третата седмица на ноември 2022 г. е наблюдавала 20-кратен скок на кибератаките по електронна поща срещу публичния и частния сектор на Украйна, като приписва по-голямата част от съобщенията на Gamaredon.

Други семейства зловреден софтуер, които се разпространяват на видно място чрез тези кампании, се състоят от Houdini RAT, FormBook, Remcos и Andromeda, последният от които е бил използван отново от хакерския екип на Turla за внедряване на собствен зловреден софтуер.

„Тъй като войната между Украйна и Русия продължава, кибератаките срещу украинската енергетика, правителство и транспорт, инфраструктура, финансов сектор и т.н. продължават постоянно“, казва Треликс. „Във времена на подобна паника и размирици нападателите се стремят да се възползват от разсейването и стреса на жертвите, за да ги експлоатират успешно.“

Източник: The Hacker News

Подобни публикации

4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
30 ноември 2023

Microsoft започва тестване на новата функция за...

Microsoft започна да тества нова функция на Windows 11 Energy Saver...
30 ноември 2023

Dollar Tree е жертва на нарушаване на сигурност...

Веригата дисконтови магазини Dollar Tree беше засегната от нарушава...
30 ноември 2023

Катарската кибер агенция провежда национални уч...

Националната агенция за киберсигурност (NCSA) на Катар проверява си...
Бъдете социални
Още по темата
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
17/11/2023

ChatGPT претърпя DDoS атака

Популярното приложение за генеративен изкуствен интелект...
16/11/2023

Датският енергиен сектор е ...

През май 22 датски организации от...
Последно добавени
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
03/12/2023

Свалянето на Qakbot: Смекча...

Министерството на правосъдието на САЩ и...
02/12/2023

Владимир Дунаев е осъден за...

Министерството на правосъдието на САЩ обяви,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!