Нови варианти на руския шпионския софтуер Gamaredon’s са насочени към Украйна

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално руския държавно-спонсориран участник в заплахи, известен като Gamaredon, за целенасочените му кибератаки срещу публични органи и критична информационна инфраструктура в страната.

Усъвършенстваната постоянна заплаха, известна още като Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, има опит в нанасянето на удари по украински структури още от 2013 г.

„Текущата дейност на групата UAC-0010 се характеризира с многоетапен подход за изтегляне и изпълнение на полезните товари на шпионския софтуер, използвани за поддържане на контрол върху заразените хостове“, заявиха от SCPC. „Засега групата UAC-0010 използва в кампаниите си шпионски софтуер GammaLoad и GammaSteel.“

GammaLoad е зловреден софтуер VBScript dropper, създаден да изтегля следващ етап на VBScript от отдалечен сървър. GammaSteel е PowerShell скрипт, който може да извършва разузнаване и да изпълнява допълнителни команди.

Целта на атаките е насочена по-скоро към шпионаж и кражба на информация, отколкото към саботаж, отбелязва агенцията. ГДБОП също така подчерта „настойчивата“ еволюция на тактиката на групировката чрез преработване на нейния набор от инструменти за зловреден софтуер, за да остане под радара, като нарече Gamaredon „ключова киберзаплаха“.

Веригите от атаки започват с фишинг имейли, съдържащи RAR архив, който при отваряне активира дълга последователност, състояща се от пет междинни етапа – LNK файл, HTA файл и три VBScript файла, които в крайна сметка завършват с доставката на полезен товар на PowerShell.

Информацията, отнасяща се до IP адреса на сървърите за командване и контрол (C2), се публикува в периодично ротирани канали на Telegram, което потвърждава доклад от BlackBerry от края на миналия месец.

Всички анализирани VBScript дропъри и PowerShell скриптове, според SCPC, са варианти съответно на зловредния софтуер GammaLoad и GammaSteel, което ефективно позволява на противника да ексфилтрира чувствителна информация.

Разкритието идва в момент, когато екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) разкри подробности за нова злонамерена кампания, насочена към държавните органи на Украйна и Полша.

Атаките са под формата на сходни уебстраници, които се представят за Министерството на външните работи на Украйна, Службата за сигурност на Украйна и Полската полиция (Policja) в опит да подмамят посетителите да изтеглят софтуер, за който се твърди, че открива заразени компютри.

При стартиране на файла – пакетния скрипт на Windows с име „Protector.bat“ – обаче той води до изпълнение на скрипт на PowerShell, който е в състояние да заснема екранни снимки и да събира файлове с 19 различни разширения от работната станция.

CERT-UA приписва операцията на участник в заплахата, когото нарича UAC-0114, който е известен също като Winter Vivern – клъстер за дейност, който в миналото е използвал въоръжени документи на Microsoft Excel, съдържащи макроси XLM, за да разгръща импланти PowerShell на компрометирани хостове.

Нахлуването на Русия в Украйна през февруари 2022 г. беше допълнено от целенасочени фишинг кампании, разрушителни удари със зловреден софтуер и разпределени атаки за отказ на услуга (DDoS).

Фирмата за киберсигурност Trellix заяви, че през третата седмица на ноември 2022 г. е наблюдавала 20-кратен скок на кибератаките по електронна поща срещу публичния и частния сектор на Украйна, като приписва по-голямата част от съобщенията на Gamaredon.

Други семейства зловреден софтуер, които се разпространяват на видно място чрез тези кампании, се състоят от Houdini RAT, FormBook, Remcos и Andromeda, последният от които е бил използван отново от хакерския екип на Turla за внедряване на собствен зловреден софтуер.

„Тъй като войната между Украйна и Русия продължава, кибератаките срещу украинската енергетика, правителство и транспорт, инфраструктура, финансов сектор и т.н. продължават постоянно“, казва Треликс. „Във времена на подобна паника и размирици нападателите се стремят да се възползват от разсейването и стреса на жертвите, за да ги експлоатират успешно.“

Източник: The Hacker News

Подобни публикации

20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
16 март 2023

Фалшиво ChatGPT разширение за Chrome отвлича ак...

Установено е, че фалшиво разширение за браузър Chrome с марката Cha...
16 март 2023

Различни методи и етапи на тестовете за проникване

Залогът за киберзащитниците не може да бъде по-голям. При огромните...
15 март 2023

Федералната агенция на САЩ е хакната с помощта ...

Миналата година уеб сървърът на Microsoft Internet Information Serv...
Бъдете социални
Още по темата
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
09/03/2023

Sharp Panda използва нова в...

Високопоставени правителствени структури в Югоизточна Азия...
24/02/2023

CISA алармира за заплахите ...

Американската агенция за киберсигурност и инфраструктурна...
Последно добавени
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!