Hakerzy z grupy Gamaredon APT atakują ukraińskie agencje rządowe

Informatycy z Cisco Talos odnotowali wzmożoną aktywność hakerów z grupy Gamaredon APT, którzy atakują ostatnio mocno instalacje IT należące do użytkowników zamieszkujących Ukrainę, w tym komputery należące do rządowych agencji. Ataki – inspirowane prawdopodobnie przez Rosję - mają na celu zagnieżdżenie w pamięci komputerów złośliwego oprogramowania, które wykrada z nich informacje.

Cyberprzestępcy wykorzystują dokumenty phishingowe, zawierające przynęty związane z rosyjską inwazją na Ukrainę. Chodzi o złośliwe oprogramowanie noszące nazwę Infostealer, które dwa cele. Daje możliwość eksfiltracji określonych typów plików oraz wdrażania na zainfekowanych urządzeniach końcowych binarnych payloadów i opartych na skryptach. Cyberprzestępcy wykorzystują wiadomości phishingowe do dostarczenia dokumentów Microsoft Office, zawierających zdalne szablony ze złośliwymi makrami VBScript.

Makra te pobierają i otwierają archiwa RAR zawierające pliki LNK, które następnie pobierają i aktywują następny etap payloadu na zainfekowanym urządzeniu. Eksperci Cisco Talos zaobserwowali znaczne podobieństwo między taktykami, technikami i procedurami (TTP), artefaktami malware oraz infrastrukturą wykorzystaną w tej kampanii a tymi, które zostały wykorzystane w serii ataków, które ukraiński Zespół Reagowania na Incydenty Komputerowe (CERT-UA) przypisał niedawno grupie Gamaredon.

Zobacz również:

  • Przemysł przyszłości. Relacja z tegorocznej konferencji Przemysł 4.0.
  • Koniec z wieloma komunikatorami naraz? Cisco dodaje MS Teams do swoich narzędzi
  • Bezpieczeństwo? Oczywiście. Ale nie u mnie...

„Natrafiliśmy również na próby włamań do kilku ukraińskich instytucji. W oparciu o te obserwacje oraz historię operacyjną Gamaredona, w czasie której niemal wyłącznie celował w Ukrainę, oceniamy, że najnowsza kampania jest niemal na pewno bezpośrednio skierowana w podmioty mające siedzibę w Ukrainie”, mówi Nick Biasini z Cisco Talos.

Hakerzy Gamaredon APT prawdopodobnie zdobyli pierwsze przyczółki w sieciach docelowych poprzez złośliwe dokumenty pakietu Office dystrybuowane za pośrednictwem poczty elektronicznej. Jest to zgodne z technikami spear-phishingu typowymi dla tego APT (Advanced Persistent Threat). Złośliwe makra VBS ukryte w zdalnych szablonach aktywują się po otwarciu dokumentu przez użytkownika. Makra pobierają archiwa RAR zawierające pliki LNK.

Jeden z plików wykonywalnych wdrożonych przez napastników za pośrednictwem skryptu PowerShell składał się z infostealera, który eksfiltruje z zainfekowanego urządzenia pliki o określonych rozszerzeniach: .doc, .docx, .xls, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z i .mdb. Jest to nowy infostealer, którego Gamaredon nie używał wcześniej w innych kampaniach. Eksperci Cisco Talos podejrzewają, że może to być element stworzonych przez grupę cyberprzestępców rodziny luk w zabezpieczeniach pod nazwą "Giddome''.

Po uruchomieniu zainfekowanego endpointa, złośliwe oprogramowanie skanuje wszystkie podłączone do pamięci masowej urządzenia w poszukiwaniu plików z wyżej wymienionymi rozszerzeniami. Dla każdego z nich malware wykonuje żądanie POST z metadanymi o eksfiltrowanym pliku i jego zawartości.

Klienci Cisco mogą wyeliminować zagrożenie, stosując szereg narzędzi, takich jak Cisco Secure Endpoint – aby zapobiec działaniu złośliwego oprogramowania czy Cisco Secure Email, aby blokować złośliwe wiadomości w ramach skrzynki pocztowej. Z kolei Cisco Secure Malware Analytics identyfikuje złośliwe pliki binarne i zapewnia dodatkową ochronę wszystkim produktom z serii Cisco Secure.

Źródło: Cisco

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200