Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών (CERT) της Ουκρανίας προειδοποιεί για
μι
α νέα εκστρατεία ηλεκτρονικού “ψαρέματος” που επέτρεψε σε χάκερ που συνδέονται με τη
Ρωσία
να αναπτύξουν κακόβουλο λογισμικό που δεν είχαν δει προηγουμένως σε ένα δίκτυο σε λιγότερο από μία ώρα.
Το APT28, γνωστό και ως Fancy Bear ή Strontium, είναι ένας ρωσικός κρατικός παράγοντας απειλών, γνωστός για τη στόχευση κυβερνητικών οντοτήτων, επιχειρήσεων, πανεπιστημίων, ερευνητικών ιδρυμάτων και δεξαμενών σκέψης σε δυτικές χώρες και οργανισμούς του ΝΑΤΟ. Η ομάδα hacking είναι γνωστό ότι χρησιμοποιεί καμπάνιες phishing και εκμεταλλεύεται ευπάθειες zero-day σε ευρέως χρησιμοποιούμενο λογισμικό.
Η τελευταία
καμπάνια
που στόχευε την Ουκρανία πραγματοποιήθηκε μεταξύ 15 και 25 Δεκεμβρίου 2023, χρησιμοποιώντας μηνύματα ηλεκτρονικού ψαρέματος που παροτρύνουν τους παραλήπτες να κάνουν κλικ σε έναν σύνδεσμο που υποτίθεται ότι θα προβάλουν ένα σημαντικό έγγραφο.
Οι σύνδεσμοι ανακατευθύνουν τα θύματα σε κακόβουλους πόρους Ιστού που χρησιμοποιούν JavaScript για την απόθεση ενός αρχείου συντόμευσης των Windows (LNK) που εκκινεί εντολές
PowerShell
για να ενεργοποιήσει μια αλυσίδα μόλυνσης για ένα νέο πρόγραμμα λήψης κακόβουλου λογισμικού Python που ονομάζεται “MASEPIE”.
.png)
Διάγραμμα επίθεσης
(Ουκρανία CERT)
Το MASEPIE εδραιώνει την επιμονή στη μολυσμένη συσκευή τροποποιώντας το μητρώο των Windows και προσθέτοντας ένα αρχείο LNK με παραπλανητικό όνομα (‘SystemUpdate.lnk’) στον φάκελο εκκίνησης των Windows.
Το CERT-UA λέει ότι ο πρωταρχικός ρόλος του κακόβουλου λογισμικού είναι να κατεβάζει επιπλέον κακόβουλο λογισμικό στη μολυσμένη συσκευή και να κλέβει δεδομένα.
Το ουκρανικό CERT λέει ότι το APT28 χρησιμοποιεί επίσης ένα σύνολο σεναρίων PowerShell με το όνομα «STEELHOOK» για την κλοπή δεδομένων από προγράμματα περιήγησης ιστού που βασίζονται στο
Chrome
, πιθανόν να εξάγουν ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης, cookie ελέγχου ταυτότητας και ιστορικό περιήγησης.
Ένα άλλο εργαλείο που χρησιμοποιείται ως μέρος της επίθεσης είναι το «OCEANMAP», μια κερκόπορτα C# που χρησιμοποιείται κυρίως για την εκτέλεση εντολών με κωδικοποίηση base64 μέσω cmd.exe.
Το OCEANMAP εδραιώνει την επιμονή στο σύστημα δημιουργώντας ένα αρχείο .URL με το όνομα «VMSearch.url» στο φάκελο εκκίνησης των Windows.
Το OCEANMAP χρησιμοποιεί το Πρωτόκολλο Πρόσβασης Μηνυμάτων Διαδικτύου (IMAP) ως κανάλι ελέγχου για να λαμβάνει διακριτικά εντολές που είναι απίθανο να προκαλέσουν συναγερμούς, αποθηκεύοντάς τες ως πρόχειρα email που περιέχουν την εντολή, το όνομα χρήστη και την έκδοση του λειτουργικού συστήματος.
Μετά την εκτέλεση των εντολών, το OCEANMAP αποθηκεύει τα αποτελέσματα στον κατάλογο εισερχομένων, επιτρέποντας στο APT28 να ανακτά κρυφά τα αποτελέσματα και να προσαρμόζει την επίθεσή του εάν χρειάζεται.
Άλλα εργαλεία που αναπτύσσονται στις επιθέσεις για αναγνώριση δικτύου και πλευρική κίνηση περιλαμβάνουν το IMPACKET, μια συλλογή κλάσεων Python για εργασία με πρωτόκολλα δικτύου και το SMBEXEC, το οποίο επιτρέπει την απομακρυσμένη εκτέλεση εντολών.
Το CERT της Ουκρανίας λέει ότι αυτά τα εργαλεία αναπτύσσονται σε παραβιασμένα συστήματα εντός μίας ώρας από τον αρχικό συμβιβασμό, υποδεικνύοντας μια ταχεία και καλά συντονισμένη επίθεση.
VIA:
bleepingcomputer.com
