Το Muhstik botnet εκμεταλλεύεται ευπάθεια του Apache RocketMQ
19 Ιουνίου, 2024Αποτελεσματική αντιμετώπιση περιστατικών ασφάλειας πληροφοριών
21 Ιουνίου, 2024Η CERT προειδοποιεί για κυβερνοεπιθέσεις που στοχεύουν τις αμυντικές δυνάμεις της Ουκρανίας, χρησιμοποιώντας το κακόβουλο λογισμικό (malware) SPECTR στο πλαίσιο της εκστρατείας κατασκοπείας SickSync.
Η υπηρεσία απέδωσε τις επιθέσεις στον παράγοντα απειλών με την ονομασία UAC-0020, γνωστό και ως Vermin, που φέρεται να έχει σχέση με τις υπηρεσίες ασφαλείας της Λαϊκής Δημοκρατίας του Luhansk (LPR). Η LPR ανακηρύχθηκε κυρίαρχο κράτος από τη Ρωσία λίγες μέρες πριν από τη στρατιωτική εισβολή στην Ουκρανία τον Φεβρουάριο του 2022.
Η αλυσίδα των επιθέσεων ξεκινά με spear-phishing emails που περιέχουν ένα αυτοεξαγόμενο αρχείο RAR. Αυτό το αρχείο περιλαμβάνει ένα αποπροσανατολιστικό PDF, μια trojanized έκδοση της εφαρμογής SyncThing που ενσωματώνει το ωφέλιμο φορτίο SPECTR, και ένα σενάριο δέσμης που ενεργοποιεί την μόλυνση εκκινώντας το εκτελέσιμο αρχείο.
Το SPECTR λειτουργεί ως κλέφτης πληροφοριών, συλλέγοντας στιγμιότυπα οθόνης κάθε 10 δευτερόλεπτα, συγκεντρώνοντας αρχεία, εξάγοντας δεδομένα από αφαιρούμενες μονάδες USB, και κλέβοντας διαπιστευτήρια από προγράμματα περιήγησης και εφαρμογές όπως το Element, το Signal, το Skype και το Telegram.
«Για τη μεταφόρτωση κλεμμένων εγγράφων, αρχείων, κωδικών πρόσβασης και άλλων πληροφοριών από τον υπολογιστή, χρησιμοποιήθηκε η τυπική λειτουργία συγχρονισμού του νόμιμου λογισμικού SyncThing, το οποίο υποστηρίζει τη δημιουργία μιας peer-to-peer σύνδεσης μεταξύ υπολογιστών», δήλωσε η CERT-UA.
Το SickSync σηματοδοτεί την επιστροφή της ομάδας Vermin μετά από μακράς διαρκείας απουσία. Η ομάδα αυτή είχε προηγουμένως ενορχηστρώσει εκστρατείες phishing, στοχεύοντας κρατικούς φορείς της Ουκρανίας για την ανάπτυξη του κακόβουλου λογισμικού SPECTR τον Μάρτιο του 2022. Το SPECTR χρησιμοποιείται από την ομάδα Vermin από το 2019.
Το Vermin είναι επίσης το όνομα ενός trojan απομακρυσμένης πρόσβασης .NET, που στοχεύει διάφορα κρατικά ιδρύματα της Ουκρανίας για σχεδόν οκτώ χρόνια. Πρωτοαναφέρθηκε δημόσια από το Palo Alto Networks Unit 42 τον Ιανουάριο του 2018, με μια ανάλυση από την ESET που ανιχνεύει τη δραστηριότητα του εισβολέα από τον Οκτώβριο του 2015.
Η αποκάλυψη αυτή ήρθε στο φως, όταν η CERT-UA προειδοποίησε για επιθέσεις κοινωνικής μηχανικής που αξιοποιούν την εφαρμογή άμεσων μηνυμάτων Signal ως μέσο διανομής του trojan απομακρυσμένης πρόσβασης DarkCrystal RAT (γνωστό και ως DCRat). Αυτές οι επιθέσεις συνδέονται με μια ομάδα δραστηριοτήτων υπό την κωδική ονομασία UAC-0200.
«Παρατηρούμε ξανά μια αυξητική τάση στις κυβερνοεπιθέσεις που χρησιμοποιούν μηνύματα και παραβιασμένους νόμιμους λογαριασμούς», δήλωσε η υπηρεσία. “Ταυτόχρονα, το θύμα ενθαρρύνεται με διάφορους τρόπους να ανοίξει το αρχείο στον υπολογιστή του.”
Επιπλέον, αποκαλύφθηκε μια εκστρατεία κακόβουλου λογισμικού που διεξήχθη από τη hacking συμμορία από τη Λευκορωσία, γνωστή ως GhostWriter (επίσης γνωστή ως UAC-0057 και UNC1151). Η εκστρατεία αυτή χρησιμοποιεί παγιδευμένα έγγραφα του Microsoft Excel για επιθέσεις που στοχεύουν το Ουκρανικό Υπουργείο Άμυνας.
“Με την εκτέλεση του εγγράφου Excel, το οποίο περιέχει ενσωματωμένη μακροεντολή VBA, απορρίπτεται ένα αρχείο φόρτωσης LNK και DLL,” ανέφερε η Symantec, θυγατρική της Broadcom. “Η εκτέλεση του αρχείου LNK ενεργοποιεί το πρόγραμμα φόρτωσης DLL, ενδεχομένως οδηγώντας σε κακόβουλο τελικό ωφέλιμο φορτίο, όπως τα Beacons AgentTesla, Cobalt Strike και njRAT.”