Cyberprzestępcy wykorzystują dokumenty phishingowe, zawierające przynęty związane z rosyjską inwazją na Ukrainę. Chodzi o złośliwe oprogramowanie noszące nazwę Infostealer, które dwa cele. Daje możliwość eksfiltracji określonych typów plików oraz wdrażania na zainfekowanych urządzeniach końcowych binarnych payloadów i opartych na skryptach. Cyberprzestępcy wykorzystują wiadomości phishingowe do dostarczenia dokumentów Microsoft Office, zawierających zdalne szablony ze złośliwymi makrami VBScript.

Makra te pobierają i otwierają archiwa RAR zawierające pliki LNK, które następnie pobierają i aktywują następny etap payloadu na zainfekowanym urządzeniu. Eksperci Cisco Talos zaobserwowali znaczne podobieństwo między taktykami, technikami i procedurami (TTP), artefaktami malware oraz infrastrukturą wykorzystaną w tej kampanii a tymi, które zostały wykorzystane w serii ataków, które ukraiński Zespół Reagowania na Incydenty Komputerowe (CERT-UA) przypisał niedawno grupie Gamaredon.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Cyberobrona? Mamy w planach

„Natrafiliśmy również na próby włamań do kilku ukraińskich instytucji. W oparciu o te obserwacje oraz historię operacyjną Gamaredona, w czasie której niemal wyłącznie celował w Ukrainę, oceniamy, że najnowsza kampania jest niemal na pewno bezpośrednio skierowana w podmioty mające siedzibę w Ukrainie”, mówi Nick Biasini z Cisco Talos.

Hakerzy Gamaredon APT prawdopodobnie zdobyli pierwsze przyczółki w sieciach docelowych poprzez złośliwe dokumenty pakietu Office dystrybuowane za pośrednictwem poczty elektronicznej. Jest to zgodne z technikami spear-phishingu typowymi dla tego APT (Advanced Persistent Threat). Złośliwe makra VBS ukryte w zdalnych szablonach aktywują się po otwarciu dokumentu przez użytkownika. Makra pobierają archiwa RAR zawierające pliki LNK.

Jeden z plików wykonywalnych wdrożonych przez napastników za pośrednictwem skryptu PowerShell składał się z infostealera, który eksfiltruje z zainfekowanego urządzenia pliki o określonych rozszerzeniach: .doc, .docx, .xls, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z i .mdb. Jest to nowy infostealer, którego Gamaredon nie używał wcześniej w innych kampaniach. Eksperci Cisco Talos podejrzewają, że może to być element stworzonych przez grupę cyberprzestępców rodziny luk w zabezpieczeniach pod nazwą "Giddome''.

Po uruchomieniu zainfekowanego endpointa, złośliwe oprogramowanie skanuje wszystkie podłączone do pamięci masowej urządzenia w poszukiwaniu plików z wyżej wymienionymi rozszerzeniami. Dla każdego z nich malware wykonuje żądanie POST z metadanymi o eksfiltrowanym pliku i jego zawartości.

Klienci Cisco mogą wyeliminować zagrożenie, stosując szereg narzędzi, takich jak Cisco Secure Endpoint – aby zapobiec działaniu złośliwego oprogramowania czy Cisco Secure Email, aby blokować złośliwe wiadomości w ramach skrzynki pocztowej. Z kolei Cisco Secure Malware Analytics identyfikuje złośliwe pliki binarne i zapewnia dodatkową ochronę wszystkim produktom z serii Cisco Secure.

Źródło: Cisco