Μία ομάδα hacking, έχει επιτεθεί σε πολλά στρατιωτικά τμήματα της Ουκρανίας, χρησιμοποιώντας μία spear phishing campaign, με σκοπό να εγκαταστήσει ένα RATVERMIN backdoor, με τη βοήθεια ενός Powershell script. Η ομάδα πίσω από την επίθεση φαίνεται να συνδέεται με την επονομαζόμενη Luhansk People’s Republic (LPR).
Η ερευνητική ομάδα της FireEye ήταν εκείνη που ανακάλυψε την κακόβουλη καμπάνια. Η προσπάθεια εξάπλωσης κακόβουλου λογισμικού, φαίνεται πως είναι η συνέχεια μιας επίθεσης εναντίον της κυβέρνησης της Ουκρανίας, η οποία ξεκίνησε το 2018.
Το RATVERMIN εγκαθίσταται χρησιμοποιώντας Powershell script
Η FireEye Threat Intelligence, ανέλυσε τα κακόβουλα προγράμματα που χρησιμοποιήθηκαν κατά τη διάρκεια των επιθέσεων των hackers και κατέληξε στο συμπέρασμα ότι η ομάδα φαίνεται να ήταν ενεργή τουλάχιστον από το 2014, ενώ βασικός στόχος των επιθέσεών της φαίνεται να είναι οργανισμοί και οντότητες στην Ουκρανία.
Συν τοις άλλοις, η κακόβουλη καμπάνια του 2018 χρησιμοποίησε αυτόνομα αρχεία EXE ή RAR (SFX) αυτόματης εξαγωγής για να μολύνει τα θύματά της, ωστόσο σύμφωνα με τους ερευνητές η πρόσφατη δραστηριότητά τους έδειξε αυξημένη πολυπλοκότητα, με τη χρήση κακόβουλων αρχείων LNK. Επιπλέον ανέφεραν ότι η ομάδα hacking χρησιμοποίησε το λογισμικό ανοικτού κώδικα QUASARRAT και το κακόβουλο λογισμικό RATVERMIN, τα οποία δεν έχουν ξαναχρησιμοποιηθεί από άλλες ομάδες.
Για να ξεγελάσουν τα θύματά τους μέσω των phishing emails τους, οι χάκερ έστειλαν μηνύματα σχεδιασμένα ώστε να μοιάζουν σαν να προέρχονται από έναν κατασκευαστή αμυντικών προϊόντων στο Ηνωμένο Βασίλειο, με το όνομα Armtrac.
Στα emails που στάλθηκαν από την ομάδα, είχαν επισυναφθεί πολλά κακόβουλα αρχεία με σκοπό να εξαπατήσουν τους στόχους ώστε να εκτελέσουν ένα Powershell script το οποίο ήταν μεταμφιεσμένο σε αρχείο LNK με επέκταση PDF και το εικονίδιο ενός εγγράφου Microsoft Word.
Άλλα δύο έγγραφα που προέρχονται από τον επίσημο δικτυακό τόπο του Armtrac, που σχεδιάστηκαν για να κερδίσουν περαιτέρω την εμπιστοσύνη των δυνητικών θυμάτων, συσκευάστηκαν σε αρχείο ZIP, συμπιεσμένα και πάλι ως αρχείο 7z Armtrac-Commercial.7z και ήταν συνημμένα στα phishing emails.
To Backdoor χρησιμοποιείται σε επιθέσεις τουλάχιστον από τον Ιανουάριο του 2018
Το RATVERMIN .NET backdoor είναι ένα Remote Access Tool (RAT) που ανακαλύφθηκε από την Unit 42 του Palo Alto Networks τον Ιανουάριο του 2018, το οποίο συλλέγει και εξάγει πληροφορίες από τα θύματά του και “συλλέγει όλα τα δεδομένα πληκτρολόγησης και προχείρου και κρυπτογραφεί τα δεδομένα πριν τα αποθηκεύσει” με τη βοήθεια ενός keylogger.
Όπως και όλα τα άλλα backdoors, το RATVERMIN επιτρέπει επίσης στους hackers που το εγκαθιστούν να εκτελούν μια μεγάλη ποικιλία εντολών στο σύστημα που έχουν μολύνει.
Ενώ η συγκεκριμένη απειλή φαίνεται να αφορά αποκλειστικά την Ουκρανία, προηγούμενες απειλές κατά της χώρας έχουν απασχολήσει κι άλλες χώρες.
