Οι συνδεδεμένοι με τη Ρωσία χάκερ, γνωστοί ως «Gamaredon» – ομάδα γνωστή και ως Armageddon ή Shuckworm – εντοπίστηκαν να αναπτύσσουν οκτώ προσαρμοσμένα binaries σε επιχειρήσεις κυβερνοκατασκοπείας εναντίον ουκρανικών οντοτήτων.
Δείτε επίσης: Λευκορωσία: Επίθεση ransomware σε σιδηρόδρομους ως διαμαρτυρία
Αυτή η ομάδα hacking πιστεύεται ότι λειτουργεί απευθείας από τη ρωσική FSB (Ομοσπονδιακή Υπηρεσία Ασφαλείας) και είναι υπεύθυνη για χιλιάδες επιθέσεις στην Ουκρανία από το 2013.
Δείτε επίσης: Ρωσία: Κατηγορεί 8 μέλη συμμορίας ύποπτα για το ransomware REvil
Ερευνητές στην ομάδα Threat Hunter της Symantec, μέρος της Broadcom Software, ανέλυσαν οκτώ δείγματα malware που χρησιμοποίησε η ομάδα Gamaredon εναντίον ουκρανικών στόχων σε πρόσφατες επιθέσεις, τα οποία θα μπορούσαν να παρέχουν βασικές πληροφορίες στους υπερασπιστές για προστασία από τις συνεχιζόμενες επιθέσεις.
Αρχεία που χρησιμοποιούνται σε πρόσφατες επιθέσεις Gamaredon
Σύμφωνα με την έκθεση της Symantec, οι monitored επιθέσεις ξεκίνησαν τον Ιούλιο με τη διάδοση spear-phishing emails που μετέφεραν έγγραφα Word με μακροεντολές.
Αυτά τα αρχεία κυκλοφόρησαν ένα αρχείο VBS που έριξε το “Pteranodon”, ένα καλά τεκμηριωμένο backdoor που η Gamaredon αναπτύσσει και βελτιώνει εδώ και σχεδόν επτά χρόνια.
Ωστόσο, ενώ οι πρόσφατες επιθέσεις εξακολουθούν να διεξάγονται με τη χρήση των phishing emails, αυτές οι επιθέσεις φαίνεται πως τώρα διασπείρουν οκτώ διαφορετικά payloads, όπως περιγράφεται παρακάτω.
Και τα οκτώ αρχεία που πήραν ως δείγμα οι αναλυτές της Symantec από πρόσφατες επιθέσεις της Gamaredon είναι 7-zip self-extracting binaries που ελαχιστοποιούν τις απαιτήσεις αλληλεπίδρασης χρήστη.
- descend.exe – Εκτελείται για απόθεση ενός αρχείου VBS στο “%USERPROFILE%\Downloads\deerbrook.ppt” και στο “%PUBLIC%\Pictures\deerbrook.ppt” και δημιουργεί μια προγραμματισμένη εργασία στο παραβιασμένο σύστημα. Το VBS έρχεται σε επαφή με το C2 και “φέρνει” το payload.
- deep-sunken.exe – Το ληφθέν payload που εκτελείται για την απόθεση τεσσάρων ακόμη αρχείων στον υπολογιστή που έχει παραβιαστεί: baby.cmd, baby.dat, basement.exe (wget binary), vb_baby.vbs. Δημιουργείται μια νέα προγραμματισμένη εργασία και γίνεται ξανά επαφή με το C2 για το επόμενο payload.
- z4z05jn4.egf.exe – Payload επόμενου σταδίου που είναι παρόμοιο με το προηγούμενο αλλά διαθέτει διαφορετικό C2, ρίχνει αρχεία σε διαφορετικούς φακέλους και χρησιμοποιεί διαφορετικά ονόματα αρχείων.
- defiant.exe – Εκτελείται για απόθεση αρχείων VBS στο “%TEMP%\\deep-versed.nls” και στο “%PUBLIC\Pictures\deep-versed.nls” και στη συνέχεια να δημιουργήσει μια προγραμματισμένη εργασία για την εκτέλεσή τους.
- deep-green.exe – Εργαλείο απομακρυσμένης διαχείρισης UltraVNC που συνδέεται με έναν repeater.
- deep-green.exe – Process Explorer binary για Microsoft Windows.
- deep-green.exe – Ίδιο με το defiant.exe αλλά με διαφορετικά κωδικοποιημένα C2 και ονόματα αρχείων.
- deep-green.exe – Αφαιρεί το VBS στο “%PUBLIC%\Music\” και δημιουργεί μια προγραμματισμένη εργασία που αναζητά αφαιρούμενους drives στο μολυσμένο σύστημα.
Άλλοι δείκτες συμβιβασμού περιλαμβάνουν διευθύνσεις URL και διευθύνσεις IP C2 που εκχωρήθηκαν από την AS9123 TimeWeb Ltd. και χρησιμοποιούν όλες μια μοναδική δομή URI όπως φαίνεται παρακάτω:
- http + IP + /.php?=, OR
- http + IP + /.php?=,-
Δείτε επίσης: Η κυβέρνηση της Λευκορωσίας έχει ευθύνη για τις εκστρατείες Ghostwriter
Επίσης, τα πιο συνηθισμένα directories που φιλοξενούν κακόβουλα αρχεία είναι:
- csidl_profile\links
- csidl_profile\searches
- CSIDL_PROFILE\appdata\local\temp\
- CSIDL_PROFILE\
Η έκθεση της Symantec καταλήγει στο συμπέρασμα ότι πολλά από τα απορριπτόμενα αρχεία έχουν άγνωστα parent process hashes που δεν αναλύθηκαν, επομένως τμήματα της λειτουργίας Gamaredon παραμένουν ασαφή.
Τα file hashes για τα νέα malware payloads που ανακαλύφθηκαν από τη Symantec μπορούν να βρεθούν στην αναφορά τους.
Πηγή πληροφοριών: bleepingcomputer.com
