Νέα εργαλεία που αποδίδονται στην hacking ομάδα Gamaredon η οποία έχει διασυνδέσεις με τη Ρωσία περιλαμβάνουν ένα module για το Microsoft Outlook που δημιουργεί προσαρμοσμένα email με κακόβουλα έγγραφα και τα στέλνει στις επαφές ενός θύματος.
Ο παράγοντας απειλής απενεργοποιεί τις προστασίες για να τρέξει macro scripts στο Outlook και να εγκαταστήσει το αρχείο για επιθέσεις spearphishing που διαδίδουν το malware σε άλλα θύματα.
Η ομάδα Gamaredon συμμετέχει στο παιχνίδι κατασκοπείας στον κυβερνοχώρο τουλάχιστον από το 2013, στοχεύοντας τα εθνικά ιδρύματα ασφάλειας στην Ουκρανία για πολιτικό και στρατιωτικό κέρδος. Έγινε πιο ενεργή από τον Δεκέμβριο του 2019.
Αυτόματο spear phishing
Ένα νέο πακέτο που χρησιμοποιήθηκε από την Gamaredon (Primitive Bear) σε πρόσφατες κακόβουλες καμπάνιες περιέχει ένα project Visual Basic for Applications (VBA) που στοχεύει τον email client του Microsoft Outlook με κακόβουλα macro scripts.
Το compromise ενός λογαριασμού email για τη διάδοση malware σε επαφές δεν είναι μια νέα μέθοδος, αλλά οι αναλυτές της ESET πιστεύουν ότι η μέθοδος που χρησιμοποίησε η Gamaredon δεν έχει τεκμηριωθεί δημοσίως στο παρελθόν.
Αναλύοντας το module, οι ερευνητές διαπίστωσαν ότι η λειτουργία ξεκινά με ένα VBScript που τερματίζει τη διαδικασία του Outlook.
Στη συνέχεια, το script τροποποιεί τις τιμές μητρώου για την κατάργηση της ασφάλειας κατά την εκτέλεση μακροεντολών VBA στο Outlook και αποθηκεύει στο δίσκο ένα κακόβουλο αρχείο OTM που βοηθά στη διάδοση μολυσμένων εγγράφων σε email στη λίστα επαφών.
Το αρχείο OTM που χρησιμοποιεί η Gamaredon περιέχει ένα VBA script και ένα κακόβουλο συνημμένο email.
Μερικές φορές, μπορεί επίσης να περιλαμβάνει μια λίστα στόχων που πρέπει να λάβουν τα μηνύματα. Σύμφωνα με την ESET, ο παράγοντας απειλής μπορεί να στείλει το email σε όλες τις επαφές του θύματος, σε όσους βρίσκονται στον ίδιο οργανισμό ή σε ένα προκαθορισμένο σύνολο διευθύνσεων email.
Ο κώδικας VBA είναι υπεύθυνος για τη δημιουργία πλήρους ενός πλήρους μηνύματος με κύριο κείμενο και κακόβουλα αρχεία (.DOCX, .LNK).
Αυτή η μέθοδος είναι αποτελεσματική, επειδή τα έγγραφα κοινοποιούνται συχνά στον οργανισμό και επιτυγχάνει επίσης persistence, καθώς τα αρχεία είναι πιθανό να ανοίξουν πολλές φορές.
Η ESET λέει ότι τα script της Gamaredon δεν χαρακτηρίζονται από την ποιότητά τους αλλά από την ταχεία ανάπτυξη και τον όγκο, γεγονός που εξηγεί το πλήθος των σφαλμάτων και των λαθών που διαπίστωσαν οι ερευνητές (π.χ. σχόλια στον πηγαίο κώδικα, λανθασμένη κωδικοποίηση γλώσσας).
