Hackers στοχεύουν τη ρωσική κυβέρνηση με phishing emails και μολύνουν τα συστήματα με RATs.
Εγκληματίες του κυβερνοχώρου στέλνουν phishing emails σε ρωσικές κυβερνητικές υπηρεσίες, τα οποία αναφέρουν συνήθως ότι σχετίζονται με ενημερώσεις ασφαλείας των Windows. Στην πραγματικότητα, όμως, εγκαθιστούν στα συστήματα κακόβουλο λογισμικό που επιτρέπει την απομακρυσμένη πρόσβαση.
Οι phishing επιθέσεις διεξάγονται από μια ομάδα APT (advanced persistent threat) που πιστεύεται ότι δρα από την Κίνα. Η ομάδα έχει συνδεθεί με τέσσερις ξεχωριστές εκστρατείες spear-phishing.
Οι επιχειρήσεις έλαβαν χώρα μεταξύ Φεβρουαρίου και Απριλίου 2022, το οποίο σημαίνει ότι οι επιθέσεις ξεκίνησαν μετά την εισβολή της Ρωσίας στην Ουκρανία.
Δείτε επίσης: Ποια ελαττώματα εκμεταλλεύονται οι χάκερ στα projects blockchain και DeFi
Και στις τέσσερις περιπτώσεις, ο στόχος των εκστρατειών ήταν να μολύνουν τους στόχους με ένα custom remote access trojan (RAT), που πιθανότατα βοηθούσε σε επιχειρήσεις κατασκοπείας.
Οι phishing επιθέσεις που διανέμουν RATs, ανακαλύφθηκαν από αναλυτές της ομάδας Malwarebytes Threat Intelligence.
Hackers στοχεύουν τη ρωσική κυβέρνηση και διανέμουν RATs μέσω phishing emails
Η πρώτη από τις τέσσερις εκστρατείες που αποδίδονται σε αυτή τη νέα κινεζική APT ομάδα, ξεκίνησε τον Φεβρουάριο του 2022, λίγες ημέρες μετά τη ρωσική εισβολή στην Ουκρανία. Τα emails διένειμαν το RAT με το όνομα “interactive_map_UA.exe”.
Στο δεύτερο κύμα επιθέσεων, η ομάδα προχώρησε σε κάτι πιο εξελιγμένο και προσεγμένο. Οι hackers χρησιμοποίησαν ένα tar.gz archive που υποτίθεται ότι ήταν μια επιδιόρθωση για την ευπάθεια Log4Shell, την οποία έστελνε το Υπουργείο Ψηφιακής Ανάπτυξης, Τηλεπικοινωνιών και Μαζικών Επικοινωνιών της Ρωσικής Ομοσπονδίας. Οι ερευνητές παρατήρησαν ότι αυτή η καμπάνια στόχευσε κυρίως υπαλλήλους του τηλεοπτικού σταθμού RT, που είναι ένα κρατικό ρωσικό τηλεοπτικό δίκτυο. Τα phishing emails περιείχαν ένα PDF με οδηγίες για την εγκατάσταση της ενημερωμένης έκδοσης κώδικα για το Log4j και περιλάμβαναν ακόμη και συμβουλές όπως “να μην ανοίγετε ή να απαντάτε σε ύποπτα email“.
Δείτε επίσης: Παραβιάστηκαν δημοφιλείς βιβλιοθήκες PyPI και PHP
“Λαμβάνοντας υπόψη τη χρήση ορισμένων ευπαθειών από εγκληματίες του κυβερνοχώρου για την απόκτηση πρόσβασης σε πληροφορίες χρήστη, κυκλοφόρησε ένα software patch για την ενημέρωση ενός συστήματος Windows 10, που κλείνει την ευπάθεια CVE-2021-44228 (επίπεδο σοβαρότητας 10.0)“, ανέφερε ένα από τα emails.
Τα phishing emails στην τρίτη καμπάνια μιμούνται τη Rostec, έναν ρωσικό κρατικό όμιλο στον τομέα της άμυνας. Οι hackers χρησιμοποίησαν πρόσφατα καταχωρημένα domains όπως το “Rostec.digital” και ψεύτικους λογαριασμούς στο Facebook για να διαδώσουν RATs και να μολύνουν τη ρωσική κυβέρνηση.
Στην τελευταία phishing εκστρατεία, τον Απρίλιο του 2022, οι Κινέζοι hackers χρησιμοποίησαν ένα έγγραφο Word με κακόβουλες μακροεντολές που περιείχε μια ψεύτικη αγγελία εργασίας από τη Saudi Aramco.
Οι ερευνητές μπόρεσαν να ανακτήσουν δείγματα του payload και από τις τέσσερις καμπάνιες και διαπίστωσαν ότι σε όλες τις περιπτώσεις είναι ουσιαστικά το ίδιο DLL με διαφορετικά ονόματα.
Το κακόβουλο λογισμικό που στόχευσε τη ρωσική κυβέρνηση διαθέτει τεχνικές αντι-ανάλυσης, όπως control flow flattening μέσω OLLVM και string obfuscation με χρήση XOR encoding.
Όσον αφορά στις εντολές που μπορεί να ζητήσει το C2 από το payload, αυτές περιλαμβάνουν τα ακόλουθα:
- getcomputername – προφίλ του κεντρικού υπολογιστή και εκχώρηση ενός μοναδικού ID
- upload – λήψη ενός αρχείου από C2 και writing στο δίσκο του κεντρικού υπολογιστή
- execute – εκτέλεση μια εντολής από το C2
- exit – τερματισμός του malware process
- ls – ανάκτηση μιας λίστας με όλα τα αρχεία κάτω από έναν καθορισμένο κατάλογο και αποστολή στο C2
Τα C2 domains που ανακαλύφθηκαν από τους ερευνητές του Malwarebytes ήταν τα “windowsipdate[.]com”, “microsoftupdetes[.]com” και “mirror-exchange[.]com”.
Δείτε επίσης: Απάτη επαλήθευσης ταυτότητας χρησιμοποιεί φωτογραφίες θυμάτων κακοποίησης
Οι hackers προσπαθούν να παραπλανήσουν τους ερευνητές
Παρατηρώντας την υποδομή, οι ερευνητές πιστεύουν ότι οι hackers που στοχεύουν τη ρωσική κυβέρνηση με τις phishing επιθέσεις και τα RATs, είναι Κινέζοι. Ωστόσο, δεν είναι απόλυτα σίγουροι γι’ αυτό.
Αυτό που έχουν παρατηρήσει πάντως οι αναλυτές, είναι ότι οι εγκληματίες προσπαθούν να κρύψουν τα ίχνη τους, μιμούμενοι άλλους hackers και χρησιμοποιώντας τα malware εργαλεία τους. Για παράδειγμα, τμήματα της υποδομής που χρησιμοποιήθηκαν, ήταν προηγουμένως συνδεδεμένα με το Sakula RAT, που χρησιμοποιήθηκε από την Deep Panda, μια κινεζική APT ομάδα.
Επίσης, οι hackers χρησιμοποίησαν το ίδιο macro builder με των TrickBot και BazarLoader, για τις επιθέσεις που χρησιμοποίησαν ως δόλωμα τη Saudi Aramco. Τέλος, υπάρχει η χρήση του wolfSSL library, που μέχρι τώρα έχει παρατηρηθεί σε εκστρατείες των Lazarus ή Tropic Trooper hackers.
Πηγή: www.bleepingcomputer.com