Μια hacking ομάδα, γνωστή ως “Winter Vivern“, έχει βάλει στο στόχαστρό της ευρωπαϊκούς κυβερνητικούς οργανισμούς και παρόχους τηλεπικοινωνιών και τους μολύνει με malware, με σκοπό τη διάπραξη κατασκοπείας.
Πιστεύεται ότι η ομάδα αυτή είναι μια φιλορωσική ομάδα APT, καθώς φαίνεται ότι οι δραστηριότητές της ανταποκρίνονται στα στρατηγικά συμφέροντα της Ρωσίας και της Λευκορωσίας.
Η Sentinel Labs αναφέρει ότι η ομάδα απειλής λειτουργεί με λίγους πόρους, ωστόσο η εφευρετικότητά της αντισταθμίζει αυτούς τους περιορισμούς.
Τελευταίες εξελίξεις
Η ομάδα Winter Vivern εξετάστηκε για πρώτη φορά από τη DomainTools το 2021, όταν εθεάθη να στοχεύει κυβερνητικούς οργανισμούς στο Βατικανό, τη Λιθουανία, τη Σλοβακία και την Ινδία.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/456179/winter-vivern-hackers-xrisimopoioun-fake-antivirus-scanners-gia-dianomi-malware/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2022/12/silence-hackers-min.jpg&description=Οι hackers "Winter Vivern" στοχελυουν ευρωπαϊκούς κυβερνητικούς οργανισμούς και παρόχους τηλεπικοινωνιών και τους μολύνει με malware){kind=link}
Δείτε επίσης: Το Android malware “FakeCalls” στοχεύει χρηματοοικονομικές εταιρείες στη Νότια Κορέα
Η Sentinel Labs εντόπισε τώρα ένα νέο κύμα κυβερνοεπιθέσεων που στοχεύει το προσωπικό των κυβερνήσεων της Πολωνίας, της Ιταλίας, της Ουκρανίας και της Ινδίας. Όπως είπαμε και παραπάνω, οι hackers δεν έχουν στοχεύσει μόνο κρατικούς στόχους, αλλά και εταιρείες τηλεπικοινωνιών που παρέχουν υπηρεσίες στην Ουκρανία, ιδίως μετά τη ρωσική εισβολή.
Στις αρχές του 2023, οι εγκληματίες του κυβερνοχώρου δημιούργησαν ψεύτικες ιστοσελίδες που ήταν πανομοιότυπες με εκείνες που ανήκουν στο Κεντρικό Γραφείο Καταπολέμησης του Ηλεκτρονικού Εγκλήματος της Πολωνίας, στο Υπουργείο Εξωτερικών της Ουκρανίας και στην Υπηρεσία Ασφαλείας της Ουκρανίας. Οι σελίδες αυτές διανέμουν κακόβουλα αρχεία στους επισκέπτες, που καταλήγουν εκεί κάνοντας κλικ σε συνδέσμους σε κακόβουλα emails που έχουν λάβει από τους hackers.
Η Sentinel Labs είχε δει στο παρελθόν αρχεία XLS με κακόβουλες μακροεντολές που εκκινούν το PowerShell που υπάρχει στις σελίδες-κλώνους.
Ψεύτικα virus scanners
Σύμφωνα με την αναφορά της Sentinel Labs (μέσω BleepingComputer), η Winter Vivern χαρακτηρίζεται για την επινοητικότητά της. Η ομάδα χρησιμοποιεί Windows batch files για να παραστήσει σαρωτές προστασίας από ιούς ενώ, στην πραγματικότητα, γίνεται λήψη κακόβουλων payloads.
Δείτε επίσης: Το LockBit ransomware λέει ότι χάκαρε την Essendant
Τα κακόβουλα αρχεία υποτίθεται ότι εκτελούν σάρωση για προστασία από ιούς και εμφανίζουν “ένα ποσοστό του χρόνου που απομένει για να ολοκληρωθεί η σάρωση”. Κρυφά κατεβάζουν ένα κακόβουλο payload χρησιμοποιώντας PowerShell.
Το payload που παραδίδεται μέσω αυτής της διαδικασίας ονομάζεται “Aperetif“. Το κακόβουλο λογισμικό φιλοξενείται σε παραβιασμένους ιστότοπους WordPress, οι οποίοι χρησιμοποιούνται συνήθως για καμπάνιες διανομής κακόβουλου λογισμικού. Το Aperetif έχει τη δυνατότητα αυτόματης σάρωσης και εξαγωγής αρχείων, λήψης screenshots και αποστολής όλων των δεδομένων (σε κρυπτογραφημένη μορφή) σε ένα hardcoded command and control server URL (marakanas[.]com).
Οι ερευνητές της Sentinel Labs εντόπισαν πρόσφατα και ένα νέο payload που χρησιμοποιείται από την Winter Vivern, το οποίο μοιάζει με το Aperefit, ως προς τη λειτουργία, αλλά φαίνεται ότι είναι ακόμα σε εξέλιξη.
Και στις δύο περιπτώσεις, τα malware beacons συνδέονται στο C2 χρησιμοποιώντας το PowerShell και περιμένουν οδηγίες ή πρόσθετα payloads.
Από τα παραπάνω, φαίνεται ότι οι hackers που απαρτίζουν την ομάδα Winter Vivern χρησιμοποιούν μια σχετικά απλοϊκή αλλά αποτελεσματική προσέγγιση για να κάνουν τους χρήστες να λάβουν κακόβουλα αρχεία και να μολύνουν τις συσκευές τους.
Δείτε επίσης: Adobe ColdFusion zero-day: Ενημερώστε άμεσα
Malware
Το κακόβουλο λογισμικό μπορεί να προκαλέσει σοβαρή ζημιά, γι’ αυτό είναι σημαντικό για όλους τους χρήστες υπολογιστών και τις επιχειρήσεις/οργανισμούς να κατανοήσουν πώς λειτουργούν οι διαφορετικοί τύποι malware και ποια μέτρα πρέπει να λάβουν προκειμένου να προστατεύσουν τις συσκευές τους από τη μόλυνση. Διατηρώντας ενημερωμένο το λογισμικό anti-virus/anti-malware, αποφεύγοντας τα κλικ σε ύποπτους συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου/sms/μηνύματα στα μέσα κοινωνικής δικτύωσης, αποφεύγοντας την εγκατάσταση λογισμικού από άγνωστες πηγές κ.λπ., θα μειώσετε σημαντικά τον κίνδυνο μόλυνσης από διάφορους τύπους κακόβουλου λογισμικού που κυκλοφορούν σήμερα!
Πηγή: www.bleepingcomputer.com