Τα κυβερνητικά δίκτυα της Ουκρανίας παραβιάστηκαν μέσω trojanized αρχείων ISO που μεταμφιέστηκαν σε έγκυρους Windows 10 installers.
Δείτε επίσης: Microsoft: Κυκλοφόρησε έκδοση Linux του εργαλείου Windows Sysmon
Χρησιμοποιώντας κακόβουλους installers, οι χάκερ είναι σε θέση να συλλέγουν ευαίσθητα δεδομένα από υπολογιστές που έχουν παραβιαστεί, να αναπτύσσουν περαιτέρω παράνομα εργαλεία και να στέλνουν τα δεδομένα που έχουν αποκτηθεί σε server που ελέγχουν.
Ένα από τα ISO που προωθήθηκαν σε αυτήν την καμπάνια είχε γίνει host στο toloka[.]to Ukrainian torrent tracker από έναν χρήστη που δημιουργήθηκε τον Μάιο του 2022.
Κατά την εξέταση πολλαπλών παραβιασμένων συσκευών σε κυβερνητικά δίκτυα της Ουκρανίας, η Mandiant ανακάλυψε προ-προγραμματισμένες εργασίες που είχαν δημιουργηθεί στα μέσα Ιουλίου 2022. Αυτές οι εργασίες είχαν δημιουργηθεί για να λαμβάνουν εντολές για την εκτέλεση εργασιών μέσω της χρήσης του PowerShell.
Μετά το διερευνητικό στάδιο, οι κακόβουλοι φορείς χρησιμοποίησαν τα backdoors Stowaway, Beacon και Sparepart για να διατηρήσουν την πρόσβαση στους παραβιασμένους υπολογιστές. Αυτό τους επέτρεψε να εκτελούν εντολές, να μεταφέρουν αρχεία, να εξάγουν credentials καθώς και keystrokes – εξαφανίζοντας έτσι ευαίσθητες πληροφορίες.
Δείτε επίσης: BitRAT malware: Εμφανίζεται ως Windows 10 license activator και μολύνει χρήστες
Σε αντίθεση με άλλες επιθέσεις όπου το κακόβουλο περιεχόμενο φιλοξενείται σε δική τους υποδομή, τα trojanized Windows 10 ISO διαμοιράστηκαν μέσω πλατφορμών ανταλλαγής αρχείων torrent στη Ρωσία και την Ουκρανία.
Αυτή η επίθεση στην αλυσίδα εφοδιασμού είχε ως στόχο την ουκρανική κυβέρνηση, ωστόσο κακόβουλα αρχεία ISO των Windows εξακολουθούσαν να διατίθενται για λήψη μέσω torrents.
Παρόλο που οι κακόβουλοι Windows 10 installers δεν στόχευαν συγκεκριμένα την ουκρανική κυβέρνηση, οι χάκερ εξέτασαν περαιτέρω τις μολυσμένες συσκευές για να ανακαλύψουν αν ανήκαν σε κυβερνητικές οντότητες. Εάν ναι, οι στόχοι αυτοί δέχονταν πιο συγκεντρωμένες επιθέσεις.
Ο κίνδυνος των trojanized installers είναι ότι είναι δύσκολο να εντοπιστούν επειδή μοιάζουν με νόμιμα προγράμματα. Ως εκ τούτου, οι χρήστες μπορεί να εξαπατηθούν και να τα κατεβάσουν χωρίς να συνειδητοποιήσουν ότι περιέχουν κακόβουλο κώδικα. Για το λόγο αυτό, είναι σημαντικό οι χρήστες να ελέγχουν πάντα διπλά τις λήψεις πριν τις εγκαταστήσουν στον υπολογιστή τους.
Η UNC4166 είναι μια κακόβουλη απειλητική ομάδα που έχει εξαπολύσει επίθεση στην αλυσίδα εφοδιασμού της ουκρανικής κυβέρνησης για να αποκτήσει εμπιστευτικές πληροφορίες. Αυτή η οργάνωση εμφανίζεται αποφασισμένη να παραβιάσει δίκτυα και να κλέψει ευαίσθητα δεδομένα από τα υποψήφια θύματά της.
Οι εμπειρογνώμονες κυβερνοασφάλειας της Mandiant δεν μπόρεσαν να εντοπίσουν την προέλευση αυτής της επίθεσης, αν και ανακάλυψαν ότι προηγουμένως οι οργανισμοί που επηρεάστηκαν από αυτήν βρίσκονταν στη λίστα της ομάδας APT28 – μιας ομάδας που φέρεται να συνδέεται με τη ρωσική στρατιωτική υπηρεσία πληροφοριών.
Δείτε επίσης: Hackers χρησιμοποιούν Trojanized έκδοση του PuTTY SSH
Εδώ και τουλάχιστον δεκαέξι χρόνια, η APT28 διεξάγει επιχειρήσεις για λογαριασμό της Κύριας Διεύθυνσης Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU), πραγματοποιώντας επιθέσεις με στόχο κυβερνήσεις σε όλο τον κόσμο. Ήταν υπεύθυνη για ένα hack το 2015 στη Γερμανία που είχε ως στόχο το ομοσπονδιακό κοινοβούλιο της χώρας, καθώς και για τις επιθέσεις του 2016 κατά της Δημοκρατικής Επιτροπής Εκστρατείας του Κογκρέσου (DCCC) και της Δημοκρατικής Εθνικής Επιτροπής (DNC).
Από τότε που ξεκίνησε η εισβολή της Ρωσίας στην Ουκρανία, πολλές εκστρατείες phishing που στοχεύουν την ουκρανική κυβέρνηση και στρατιωτικούς οργανισμούς έχουν χαρακτηριστεί ως επιχειρήσεις της APT28 από την Google, τη Microsoft και το CERT της Ουκρανίας.
Πηγή πληροφοριών: bleepingcomputer.com
