Cyberprzestępcy z grupy Gamaredon APT celują w ukraińskie agencje rządowe
- Analitycy Cisco Talos natrafili na nową kampanię przypisywaną powiązanej z Rosją grupie Gamaredon APT, która infekuje ukraińskich użytkowników złośliwym oprogramowaniem wykradającym informacje.
- Cyberprzestępcy wykorzystują dokumenty phishingowe, zawierające przynęty związane z rosyjską inwazją na Ukrainę.
- Zainfekowane pliki LNK, PowerShell i VBScript umożliwiają wstępny dostęp do systemów, natomiast złośliwe pliki binarne są wdrażane w fazie poinfekcyjnej.
- Eksperci Cisco zidentyfikowali wykorzystanie niestandardowego implantu wykradającego informacje, który może eksfiltrować interesujące pliki ofiary i rozmieszczać dodatkowe payloady zgodnie z instrukcjami napastników.
Warszawa, 22 września 2022 – eksperci Cisco Talos odnotowali wzmożoną aktywność grupy Gamaredon APT, skierowaną przeciwko użytkownikom w Ukrainie. Przestępcy działają z wykorzystaniem złośliwych plików LNK dystrybuowanych w archiwach RAR. Kampania, będąca częścią trwającej operacji szpiegowskiej obserwowanej od sierpnia 2022 roku, ma na celu dostarczenie złośliwego oprogramowania wykradającego informacje do zlokalizowanych na terenie Ukrainy maszyn-ofiar przy intensywnym wykorzystaniu wielu modułowych skryptów PowerShell i VBScript (VBS) jako części „łańcucha infekcji”. Infostealer to złośliwe oprogramowanie o podwójnym przeznaczeniu. Daje ono możliwość eksfiltracji określonych typów plików i wdrażania dodatkowych binarnych i opartych na skryptach payloadów na zainfekowanych urządzeniach końcowych.
Cyberprzestępcy wykorzystują wiadomości phishingowe do dostarczenia dokumentów Microsoft Office, zawierających zdalne szablony ze złośliwymi makrami VBScript. Makra te pobierają i otwierają archiwa RAR zawierające pliki LNK, które następnie pobierają i aktywują następny etap payloadu na zainfekowanym urządzeniu. Eksperci Cisco Talos zaobserwowali znaczne podobieństwo między taktykami, technikami i procedurami (TTP), artefaktami malware oraz infrastrukturą wykorzystaną w tej kampanii a tymi, które zostały wykorzystane w serii ataków, które ukraiński Zespół Reagowania na Incydenty Komputerowe (CERT-UA) przypisał niedawno grupie Gamaredon.
– Natrafiliśmy również na próby włamań do kilku ukraińskich instytucji. W oparciu o te obserwacje oraz historię operacyjną Gamaredona, w czasie której niemal wyłącznie celował w Ukrainę, oceniamy, że najnowsza kampania jest niemal na pewno bezpośrednio skierowana w podmioty mające siedzibę w Ukrainie – mówi Nick Biasini z Cisco Talos.
Hakerzy Gamaredon APT prawdopodobnie zdobyli pierwsze przyczółki w sieciach docelowych poprzez złośliwe dokumenty pakietu Office dystrybuowane za pośrednictwem poczty elektronicznej. Jest to zgodne z technikami spear-phishingu typowymi dla tego APT (Advanced Persistent Threat).
Złośliwe makra VBS ukryte w zdalnych szablonach aktywują się po otwarciu dokumentu przez użytkownika. Makra pobierają archiwa RAR zawierające pliki LNK.
Jeden z plików wykonywalnych wdrożonych przez napastników za pośrednictwem skryptu PowerShell składał się z infostealera, który eksfiltruje z zainfekowanego urządzenia pliki o określonych rozszerzeniach: .doc, .docx, .xls, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z i .mdb. Jest to nowy infostealer, którego Gamaredon nie używał wcześniej w innych kampaniach. Eksperci Cisco Talos podejrzewają, że może to być element stworzonych przez grupę cyberprzestępców rodziny luk w zabezpieczeniach pod nazwą „Giddome”.
Po uruchomieniu zainfekowanego endpointa, złośliwe oprogramowanie skanuje wszystkie podłączone do pamięci masowej urządzenia w poszukiwaniu plików z wyżej wymienionymi rozszerzeniami. Dla każdego z nich malware wykonuje żądanie POST z metadanymi o eksfiltrowanym pliku i jego zawartości.
Klienci Cisco mogą wyeliminować zagrożenie, stosując szereg narzędzi, takich jak Cisco Secure Endpoint – aby zapobiec działaniu złośliwego oprogramowania czy Cisco Secure Email, aby blokować złośliwe wiadomości w ramach skrzynki pocztowej. Z kolei Cisco Secure Malware Analytics identyfikuje złośliwe pliki binarne i zapewnia dodatkową ochronę wszystkim produktom z serii Cisco Secure.
Więcej informacji na ten temat można znaleźć we wpisie na blogu Cisco Talos: https://blog.talosintelligence.com/2022/09/gamaredon-apt-targets-ukrainian-agencies.html
O Cisco:
Cisco (NASDAQ: CSCO) jest światowym liderem w dziedzinie technologii tworzących Internet, które zmieniają oblicze aplikacji, zabezpieczają dane, przekształcają infrastrukturę i łączą zespoły pracowników na całym świecie. Dowiedz się więcej na www.newsroom.cisco.com. Cisco i logo Cisco to zastrzeżone znaki towarowe należące do Cisco i/lub jego podmiotów zależnych w U.S.A i innych krajach. Pełna lista znaków towarowych Cisco dostępna jest pod adresem: www.cisco.com/go/trademarks. Znaki towarowe firm trzecich są ich własnością. Użycie słowa partner nie oznacza stosunku partnerstwa pomiędzy Cisco i inną firmą.