Търсене
Close this search box.

Нови варианти на руския шпионския софтуер Gamaredon’s са насочени към Украйна

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално руския държавно-спонсориран участник в заплахи, известен като Gamaredon, за целенасочените му кибератаки срещу публични органи и критична информационна инфраструктура в страната.

Усъвършенстваната постоянна заплаха, известна още като Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, има опит в нанасянето на удари по украински структури още от 2013 г.

„Текущата дейност на групата UAC-0010 се характеризира с многоетапен подход за изтегляне и изпълнение на полезните товари на шпионския софтуер, използвани за поддържане на контрол върху заразените хостове“, заявиха от SCPC. „Засега групата UAC-0010 използва в кампаниите си шпионски софтуер GammaLoad и GammaSteel.“

GammaLoad е зловреден софтуер VBScript dropper, създаден да изтегля следващ етап на VBScript от отдалечен сървър. GammaSteel е PowerShell скрипт, който може да извършва разузнаване и да изпълнява допълнителни команди.

Целта на атаките е насочена по-скоро към шпионаж и кражба на информация, отколкото към саботаж, отбелязва агенцията. ГДБОП също така подчерта „настойчивата“ еволюция на тактиката на групировката чрез преработване на нейния набор от инструменти за зловреден софтуер, за да остане под радара, като нарече Gamaredon „ключова киберзаплаха“.

Веригите от атаки започват с фишинг имейли, съдържащи RAR архив, който при отваряне активира дълга последователност, състояща се от пет междинни етапа – LNK файл, HTA файл и три VBScript файла, които в крайна сметка завършват с доставката на полезен товар на PowerShell.

Информацията, отнасяща се до IP адреса на сървърите за командване и контрол (C2), се публикува в периодично ротирани канали на Telegram, което потвърждава доклад от BlackBerry от края на миналия месец.

Всички анализирани VBScript дропъри и PowerShell скриптове, според SCPC, са варианти съответно на зловредния софтуер GammaLoad и GammaSteel, което ефективно позволява на противника да ексфилтрира чувствителна информация.

Разкритието идва в момент, когато екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) разкри подробности за нова злонамерена кампания, насочена към държавните органи на Украйна и Полша.

Атаките са под формата на сходни уебстраници, които се представят за Министерството на външните работи на Украйна, Службата за сигурност на Украйна и Полската полиция (Policja) в опит да подмамят посетителите да изтеглят софтуер, за който се твърди, че открива заразени компютри.

При стартиране на файла – пакетния скрипт на Windows с име „Protector.bat“ – обаче той води до изпълнение на скрипт на PowerShell, който е в състояние да заснема екранни снимки и да събира файлове с 19 различни разширения от работната станция.

CERT-UA приписва операцията на участник в заплахата, когото нарича UAC-0114, който е известен също като Winter Vivern – клъстер за дейност, който в миналото е използвал въоръжени документи на Microsoft Excel, съдържащи макроси XLM, за да разгръща импланти PowerShell на компрометирани хостове.

Нахлуването на Русия в Украйна през февруари 2022 г. беше допълнено от целенасочени фишинг кампании, разрушителни удари със зловреден софтуер и разпределени атаки за отказ на услуга (DDoS).

Фирмата за киберсигурност Trellix заяви, че през третата седмица на ноември 2022 г. е наблюдавала 20-кратен скок на кибератаките по електронна поща срещу публичния и частния сектор на Украйна, като приписва по-голямата част от съобщенията на Gamaredon.

Други семейства зловреден софтуер, които се разпространяват на видно място чрез тези кампании, се състоят от Houdini RAT, FormBook, Remcos и Andromeda, последният от които е бил използван отново от хакерския екип на Turla за внедряване на собствен зловреден софтуер.

„Тъй като войната между Украйна и Русия продължава, кибератаките срещу украинската енергетика, правителство и транспорт, инфраструктура, финансов сектор и т.н. продължават постоянно“, казва Треликс. „Във времена на подобна паника и размирици нападателите се стремят да се възползват от разсейването и стреса на жертвите, за да ги експлоатират успешно.“

Източник: The Hacker News

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
Бъдете социални
Още по темата
06/09/2024

Индийска пропаганда се разп...

След три години работа е разкрита...
05/09/2024

Руското подразделение на ГР...

Според съвместна консултация на правителството на...
31/08/2024

Google хваща руска APT, коя...

Ловците на заплахи в Google твърдят,...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!