Η ρωσική κρατικά χρηματοδοτούμενη ομάδα hacking Gamaredon (γνωστή και ως Armageddon ή Shuckworm) συνεχίζει να στοχεύει κρίσιμους οργανισμούς στους τομείς του στρατού και των υπηρεσιών πληροφοριών ασφαλείας της Ουκρανίας, χρησιμοποιώντας ένα ανανεωμένο σύνολο εργαλείων και νέες τακτικές μόλυνσης.
Δείτε επίσης: Windows: Η επιδιόρθωση πυρήνα είναι απενεργοποιημένη από προεπιλογή
Προηγουμένως, οι Ρώσοι χάκερ που συνδέονται με την FSB είχαν παρατηρηθεί να χρησιμοποιούν information-stealers εναντίον ουκρανικών κρατικών οργανισμών. Χρησιμοποίησαν νέες παραλλαγές του κακόβουλου λογισμικού “Pteranodon” και χρησιμοποίησαν και έναν default Word template hijacker για νέες μολύνσεις.
Η ομάδα έρευνας της Symantec -η οποία αποτελεί μέρος της Broadcom- ανέφερε σήμερα ότι οι απειλητικοί φορείς έχουν αρχίσει πρόσφατα να χρησιμοποιούν κακόβουλο λογισμικό USB για να διαδίδονται σε πρόσθετα συστήματα μέσα σε μολυσμένα δίκτυα.
Ένα άλλο ενδιαφέρον στοιχείο της νεότερης εκστρατείας της Gamaredon στοχεύει σε τμήματα ανθρώπινου δυναμικού, υποδεικνύοντας ενδεχομένως ότι οι απειλητικοί φορείς στοχεύουν σε επιθέσεις spear-phishing εντός των παραβιασμένων οργανισμών.
Δείτε επίσης: LockBit ransomware: Η συμμορία κέρδισε $ 91 εκατ. μέσω 1.700 επιθέσεων σε αμερικανικούς οργανισμούς
Οι ενέργειες του 2023
Οι αναλυτές της Symantec ανέφεραν ότι η δραστηριότητα της ομάδας Gamaredon κορυφώθηκε μεταξύ Φεβρουαρίου και Μαρτίου του 2023, ενώ οι χάκερ συνέχισαν να διατηρούν την παρουσία τους σε ορισμένα παραβιασμένα μηχανήματα μέχρι τον Μάιο του 2023.
Ο απειλητικός παράγοντας Gamaredon συνεχίζει να βασίζεται σε ηλεκτρονικά μηνύματα ηλεκτρονικού “ψαρέματος” για την αρχική παραβίαση, στοχεύοντας κυβερνητικούς, στρατιωτικούς, ασφαλιστικούς και ερευνητικούς οργανισμούς με έμφαση στα τμήματα ανθρώπινου δυναμικού τους.
Τα phishing μηνύματα φέρουν συνημμένα RAR, DOCX, SFX, LNK και HTA που, αν ανοίξουν, εκκινούν μια εντολή PowerShell που κατεβάζει ένα payload «Pterodo» από τον διακομιστή (C2) του εισβολέα.
Η Symantec εξέτασε 25 παραλλαγές PowerShell scripts μεταξύ Ιανουαρίου και Απριλίου 2023, χρησιμοποιώντας διαφορετικά επίπεδα obfuscation και δείχνοντας σε διαφορετικές διευθύνσεις IP λήψης Pterodo, προκειμένου να αντισταθούν στους κανόνες στατικής ανίχνευσης.
Το PowerShell αντιγράφει τον εαυτό του στο μολυσμένο μηχάνημα και δημιουργεί ένα αρχείο συντόμευσης χρησιμοποιώντας μια επέκταση rtk.lnk. Τα LNK που δημιουργούνται από το script λαμβάνουν ένα ευρύ φάσμα ονομάτων, μερικά επιλεγμένα ειδικά για να κεντρίσουν το ενδιαφέρον του θύματος όπως:
- weapons_list.rtf.lnk
- secret.rtf.lnk
- pornophoto.rtf.lnk
- my_photos.rtf.lnk
- login_password.docx.lnk
- compromising_evidence.rtf.lnk
- instructions.rtf.lnk
- account_card.rtf.lnk
- bank_accоunt.rtf.lnk
Μόλις το θύμα εκκινήσει αυτά τα αρχεία, το PowerShell script απαριθμεί όλους τους δίσκους του υπολογιστή και αντιγράφει τον εαυτό του σε αφαιρούμενους δίσκους USB, αυξάνοντας έτσι την πιθανότητα επιτυχούς πλευρικής μετακίνησης εντός του παραβιασμένου δικτύου.
Σε ένα από τα μηχανήματα που παραβιάστηκε από την Gamaredon φέτος, οι αναλυτές της Symantec βρήκαν ένα αρχείο “foto.safe” που είναι ένα PowerShell script με κωδικοποίηση base64.
Η Symantec δηλώνει ότι η συσκευή μολύνθηκε μετά τη σύνδεση ενός ήδη μολυσμένου κλειδιού USB σε αυτήν. Ωστόσο, παραμένει ασαφές το πώς μολύνθηκε αρχικά η μονάδα USB.
“Αυτές οι μονάδες USB πιθανότατα χρησιμοποιούνται από τους εισβολείς για πλευρική κίνηση στα δίκτυα των θυμάτων και μπορεί να χρησιμοποιηθούν για να βοηθήσουν τους εισβολείς να φτάσουν σε air-gapped μηχανές εντός στοχευμένων οργανισμών“, προειδοποίησε η Symantec.
Δείτε επίσης: Μια επιχείρηση ransomware στοχεύει τους Ρώσους παίκτες του Enlisted
Η Symantec αναμένει ότι η Gamaredon θα παραμείνει επικεντρωμένη στην Ουκρανία, ανανεώνοντας τα εργαλεία της και εμπλουτίζοντας τις τακτικές επίθεσης, καθώς στοχεύει σε δεδομένα που θα μπορούσαν να είναι χρήσιμα στις στρατιωτικές επιχειρήσεις της Ρωσίας.
Πηγή πληροφοριών: bleepingcomputer.com
 συνεχίζει να στοχεύει κρίσιμους...){kind=link}