Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално руския държавно-спонсориран участник в заплахи, известен като Gamaredon, за целенасочените му кибератаки срещу публични органи и критична информационна инфраструктура в страната.
Усъвършенстваната постоянна заплаха, известна още като Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, има опит в нанасянето на удари по украински структури още от 2013 г.
„Текущата дейност на групата UAC-0010 се характеризира с многоетапен подход за изтегляне и изпълнение на полезните товари на шпионския софтуер, използвани за поддържане на контрол върху заразените хостове“, заявиха от SCPC. „Засега групата UAC-0010 използва в кампаниите си шпионски софтуер GammaLoad и GammaSteel.“
GammaLoad е зловреден софтуер VBScript dropper, създаден да изтегля следващ етап на VBScript от отдалечен сървър. GammaSteel е PowerShell скрипт, който може да извършва разузнаване и да изпълнява допълнителни команди.
Целта на атаките е насочена по-скоро към шпионаж и кражба на информация, отколкото към саботаж, отбелязва агенцията. ГДБОП също така подчерта „настойчивата“ еволюция на тактиката на групировката чрез преработване на нейния набор от инструменти за зловреден софтуер, за да остане под радара, като нарече Gamaredon „ключова киберзаплаха“.
Веригите от атаки започват с фишинг имейли, съдържащи RAR архив, който при отваряне активира дълга последователност, състояща се от пет междинни етапа – LNK файл, HTA файл и три VBScript файла, които в крайна сметка завършват с доставката на полезен товар на PowerShell.
Информацията, отнасяща се до IP адреса на сървърите за командване и контрол (C2), се публикува в периодично ротирани канали на Telegram, което потвърждава доклад от BlackBerry от края на миналия месец.
Всички анализирани VBScript дропъри и PowerShell скриптове, според SCPC, са варианти съответно на зловредния софтуер GammaLoad и GammaSteel, което ефективно позволява на противника да ексфилтрира чувствителна информация.
Разкритието идва в момент, когато екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) разкри подробности за нова злонамерена кампания, насочена към държавните органи на Украйна и Полша.
Атаките са под формата на сходни уебстраници, които се представят за Министерството на външните работи на Украйна, Службата за сигурност на Украйна и Полската полиция (Policja) в опит да подмамят посетителите да изтеглят софтуер, за който се твърди, че открива заразени компютри.
При стартиране на файла – пакетния скрипт на Windows с име „Protector.bat“ – обаче той води до изпълнение на скрипт на PowerShell, който е в състояние да заснема екранни снимки и да събира файлове с 19 различни разширения от работната станция.
CERT-UA приписва операцията на участник в заплахата, когото нарича UAC-0114, който е известен също като Winter Vivern – клъстер за дейност, който в миналото е използвал въоръжени документи на Microsoft Excel, съдържащи макроси XLM, за да разгръща импланти PowerShell на компрометирани хостове.
Нахлуването на Русия в Украйна през февруари 2022 г. беше допълнено от целенасочени фишинг кампании, разрушителни удари със зловреден софтуер и разпределени атаки за отказ на услуга (DDoS).
Фирмата за киберсигурност Trellix заяви, че през третата седмица на ноември 2022 г. е наблюдавала 20-кратен скок на кибератаките по електронна поща срещу публичния и частния сектор на Украйна, като приписва по-голямата част от съобщенията на Gamaredon.
Други семейства зловреден софтуер, които се разпространяват на видно място чрез тези кампании, се състоят от Houdini RAT, FormBook, Remcos и Andromeda, последният от които е бил използван отново от хакерския екип на Turla за внедряване на собствен зловреден софтуер.
„Тъй като войната между Украйна и Русия продължава, кибератаките срещу украинската енергетика, правителство и транспорт, инфраструктура, финансов сектор и т.н. продължават постоянно“, казва Треликс. „Във времена на подобна паника и размирици нападателите се стремят да се възползват от разсейването и стреса на жертвите, за да ги експлоатират успешно.“
