Търсене
Close this search box.

Нови варианти на руския шпионския софтуер Gamaredon’s са насочени към Украйна

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално руския държавно-спонсориран участник в заплахи, известен като Gamaredon, за целенасочените му кибератаки срещу публични органи и критична информационна инфраструктура в страната.

Усъвършенстваната постоянна заплаха, известна още като Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, има опит в нанасянето на удари по украински структури още от 2013 г.

„Текущата дейност на групата UAC-0010 се характеризира с многоетапен подход за изтегляне и изпълнение на полезните товари на шпионския софтуер, използвани за поддържане на контрол върху заразените хостове“, заявиха от SCPC. „Засега групата UAC-0010 използва в кампаниите си шпионски софтуер GammaLoad и GammaSteel.“

GammaLoad е зловреден софтуер VBScript dropper, създаден да изтегля следващ етап на VBScript от отдалечен сървър. GammaSteel е PowerShell скрипт, който може да извършва разузнаване и да изпълнява допълнителни команди.

Целта на атаките е насочена по-скоро към шпионаж и кражба на информация, отколкото към саботаж, отбелязва агенцията. ГДБОП също така подчерта „настойчивата“ еволюция на тактиката на групировката чрез преработване на нейния набор от инструменти за зловреден софтуер, за да остане под радара, като нарече Gamaredon „ключова киберзаплаха“.

Веригите от атаки започват с фишинг имейли, съдържащи RAR архив, който при отваряне активира дълга последователност, състояща се от пет междинни етапа – LNK файл, HTA файл и три VBScript файла, които в крайна сметка завършват с доставката на полезен товар на PowerShell.

Информацията, отнасяща се до IP адреса на сървърите за командване и контрол (C2), се публикува в периодично ротирани канали на Telegram, което потвърждава доклад от BlackBerry от края на миналия месец.

Всички анализирани VBScript дропъри и PowerShell скриптове, според SCPC, са варианти съответно на зловредния софтуер GammaLoad и GammaSteel, което ефективно позволява на противника да ексфилтрира чувствителна информация.

Разкритието идва в момент, когато екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) разкри подробности за нова злонамерена кампания, насочена към държавните органи на Украйна и Полша.

Атаките са под формата на сходни уебстраници, които се представят за Министерството на външните работи на Украйна, Службата за сигурност на Украйна и Полската полиция (Policja) в опит да подмамят посетителите да изтеглят софтуер, за който се твърди, че открива заразени компютри.

При стартиране на файла – пакетния скрипт на Windows с име „Protector.bat“ – обаче той води до изпълнение на скрипт на PowerShell, който е в състояние да заснема екранни снимки и да събира файлове с 19 различни разширения от работната станция.

CERT-UA приписва операцията на участник в заплахата, когото нарича UAC-0114, който е известен също като Winter Vivern – клъстер за дейност, който в миналото е използвал въоръжени документи на Microsoft Excel, съдържащи макроси XLM, за да разгръща импланти PowerShell на компрометирани хостове.

Нахлуването на Русия в Украйна през февруари 2022 г. беше допълнено от целенасочени фишинг кампании, разрушителни удари със зловреден софтуер и разпределени атаки за отказ на услуга (DDoS).

Фирмата за киберсигурност Trellix заяви, че през третата седмица на ноември 2022 г. е наблюдавала 20-кратен скок на кибератаките по електронна поща срещу публичния и частния сектор на Украйна, като приписва по-голямата част от съобщенията на Gamaredon.

Други семейства зловреден софтуер, които се разпространяват на видно място чрез тези кампании, се състоят от Houdini RAT, FormBook, Remcos и Andromeda, последният от които е бил използван отново от хакерския екип на Turla за внедряване на собствен зловреден софтуер.

„Тъй като войната между Украйна и Русия продължава, кибератаките срещу украинската енергетика, правителство и транспорт, инфраструктура, финансов сектор и т.н. продължават постоянно“, казва Треликс. „Във времена на подобна паника и размирици нападателите се стремят да се възползват от разсейването и стреса на жертвите, за да ги експлоатират успешно.“

Източник: The Hacker News

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...
Бъдете социални
Още по темата
16/05/2024

Украински и латвийски телев...

Само в Украйна бяха прекъснати поне...
10/05/2024

Полша твърди, че руски воен...

Полша съобщава, че подкрепяна от държавата...
07/05/2024

Amnesty International посоч...

Нарастващото количество технологии за наблюдение, които...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!