Η Ομάδα Αντιμετώπισης Εκτάκτων Περιστατικών Υπολογιστών (CERT) της Ουκρανίας, προειδοποιεί για μια νέα εκστρατεία phishing που επέτρεψε σε χάκερ που συνδέονται με τη Ρωσία να εγκαταστήσουν το προηγουμένως αόρατο κακόβουλο λογισμικό MASEPIE, σε ένα δίκτυο μέσα σε μία ώρα.
Δείτε επίσης: Ρώσοι χάκερς στοχεύουν το στρατό του ΝΑΤΟ
Η APT28, επίσης γνωστή ως Fancy Bear ή Strontium, είναι μια ρωσική ομάδα απειλών που χρηματοδοτείται από το κράτος και επιδίδεται σε επιθέσεις κατά κυβερνητικών οντοτήτων, επιχειρήσεων, πανεπιστημίων, ερευνητικών ινστιτούτων και συνεδρίων διάσκεψης σε δυτικές χώρες και οργανισμούς του ΝΑΤΟ. Η ομάδα χρησιμοποιεί καμπάνιες phishing και εκμεταλλεύεται ευπάθειες zero-day σε ευρέως χρησιμοποιούμενο λογισμικό.
Η πιο πρόσφατη επιχείρηση που στόχευε την Ουκρανία πραγματοποιήθηκε από τις 15 έως τις 25 Δεκεμβρίου 2023, χρησιμοποιώντας αλληλογραφία phishing που παροτρύνει τους αποδέκτες να κάνουν κλικ σε ένα σύνδεσμο που υποτίθεται ότι παρουσιάζει ένα σημαντικό έγγραφο.
Οι σύνδεσμοι ανακατευθύνουν τα θύματα σε κακόβουλους ιστότοπους που χρησιμοποιούν JavaScript για να αποθέσουν ένα αρχείο συντόμευσης των Windows (LNK) το οποίο εκτελεί εντολές PowerShell για να ενεργοποιήσει μια αλυσίδα μόλυνσης για ένα νέο malwarePython με όνομα ‘MASEPIE’.
Το MASEPIE δημιουργεί μόνιμη ύπαρξη στην μολυσμένη συσκευή με τροποποίηση του Μητρώου των Windows και προσθήκη ενός ψεύτικου ονομαζόμενου αρχείου LNK (‘SystemUpdate.lnk’) στον φάκελο Εκκίνησης των Windows.
Το CERT-UA αναφέρει ότι ο κύριος ρόλος του κακόβουλου λογισμικού είναι να κατεβάζει επιπλέον κακόβουλο λογισμικό στην μολυσμένη συσκευή και να κλέβει δεδομένα.
Το Ουκρανικό CERT αναφέρει ότι η APT28 χρησιμοποιεί επίσης ένα σύνολο από PowerShell scripts με το όνομα ‘STEELHOOK‘ για να κλέψει δεδομένα από περιηγητές ιστού που βασίζονται στο Chrome, πιθανότατα για να ανακτήσει ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης, cookies και ιστορικό περιήγησης.
Δείτε ακόμα: Οι Ρώσοι hackers APT28 μολύνουν οργανισμούς με το HeadLace backdoor
Ένα ακόμα εργαλείο που χρησιμοποιείται ως μέρος της επίθεσης είναι το ‘OCEANMAP‘, ένα backdoor σε γλώσσα C# που χρησιμοποιείται κυρίως για την εκτέλεση εντολών που έχουν κωδικοποιηθεί σε μορφή base64 μέσω του cmd.exe.
Το OCEANMAP διατηρεί την επιμονή στο σύστημα δημιουργώντας ένα αρχείο .URL με το όνομα ‘VMSearch.url‘ στον φάκελο Έναρξης των Windows. Το OCEANMAP χρησιμοποιεί το πρωτόκολλο πρόσβασης σε μηνύματα Internet (IMAP) ως έναν έλεγχο καναλιού για να λαμβάνει εντολές διακριτικά που είναι απίθανο να προκαλέσουν συναγερμούς. Αποθηκεύει αυτές τις εντολές ως πρόχειρα email που περιέχουν την εντολή, το όνομα χρήστη και την έκδοση του λειτουργικού συστήματος.
Μετά την εκτέλεση των εντολών, το OCEANMAP αποθηκεύει τα αποτελέσματα στον φάκελο “inbox“, επιτρέποντας στην APT28 να ανακτήσει κρυφά τα αποτελέσματα και να προσαρμόσει την επίθεσή του αν απαιτείται.
Άλλα εργαλεία που χρησιμοποιούνται στις επιθέσεις για την αναγνώριση του δικτύου και την πλευρική κίνηση περιλαμβάνουν το IMPACKET, μια συλλογή κλάσεων Python για την εργασία με πρωτόκολλα δικτύου, και το SMBEXEC, το οποίο επιτρέπει την απομακρυσμένη εκτέλεση εντολών.
Το CERT της Ουκρανίας αναφέρει ότι αυτά τα εργαλεία εγκαθίστανται σε παραβιασμένα συστήματα μέσα σε μία ώρα από την αρχική παραβίαση, δείχνοντας μία γρήγορη και καλά συντονισμένη επίθεση.
Δείτε επίσης: Οι Ρώσοι hackers “Sandworm” παραβίασαν 11 παρόχους τηλεπικοινωνιών στην Ουκρανία
Οι Ρώσοι χάκερς έχουν αυξήσει την ανησυχία για την παγκόσμια ασφάλεια στον κυβερνοχώρο. Με την ικανότητά τους να διαπερνούν συστήματα ασφαλείας, μπορούν να προκαλέσουν σημαντικές ζημιές στην ψηφιακή υποδομή των χωρών. Ένας από τους τομείς που επηρεάζονται περισσότερο είναι οι χρηματοπιστωτικές υπηρεσίες. Οι Ρώσοι χάκερς μπορούν να διακόψουν τις χρηματοπιστωτικές συναλλαγές, να κλέψουν προσωπικές πληροφορίες και να προκαλέσουν οικονομική αναταραχή.
Επίσης, οι Ρώσοι χάκερς μπορούν να απειλήσουν την εθνική ασφάλεια των χωρών. Με την ικανότητά τους να παραβιάζουν τα συστήματα ασφαλείας, μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες και να προκαλέσουν πολιτική αστάθεια.
Τέλος, οι Ρώσοι χάκερς μπορούν να επηρεάσουν την κοινή γνώμη και τις δημοκρατικές διαδικασίες. Με την ικανότητά τους να χειρίζονται τα μέσα ενημέρωσης και τα κοινωνικά δίκτυα, μπορούν να διαστρεβλώσουν την πραγματικότητα και να επηρεάσουν τις εκλογές.
Πηγή: bleepingcomputer
