Οι χάκερ της Gamaredon αρχίζουν να κλέβουν δεδομένα 30 λεπτά μετά από μια παραβίαση

Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) προειδοποιεί ότι η πειρατεία Gamaredon λειτουργεί σε γρήγορες επιθέσεις, κλέβοντας δεδομένα από παραβιασμένα συστήματα σε λιγότερο από μία ώρα.

Ο Gamaredon, γνωστός και ως Armageddon, UAC-0010 και Shuckworm, είναι μια ρωσική, κρατική χορηγία ομάδα πειρατείας κυβερνοκατασκοπείας με ερευνητές κυβερνοασφάλειας που τους συνδέουν με το FSB (Ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας) και έχουν μέλη που είναι πρώην αξιωματικοί SSU που αυτομόλησαν στη Ρωσία. το 2014.

Από την έναρξη της ρωσικής εισβολής, οι παράγοντες της απειλής πιστεύεται ότι είναι υπεύθυνοι για χιλιάδες επιθέσεις κατά της κυβέρνησης και άλλων σημαντικών δημόσιων και ιδιωτικών οργανισμών στην Ουκρανία.

Η συσσώρευση δεδομένων από αυτές τις επιθέσεις επέτρεψε στο CERT-UA να περιγράψει τις επιθέσεις της ομάδας, τις οποίες μοιράζεται για να βοηθήσει τους υπερασπιστές να εντοπίσουν και να σταματήσουν τις προσπάθειες διείσδυσης στο δίκτυο.

Χαρακτηριστικά επίθεσης Gamaredon

Οι επιθέσεις Gamaredon συνήθως ξεκινούν με ένα email ή μήνυμα που αποστέλλεται σε στόχους μέσω

Telegram

,

WhatsApp

, Signal ή άλλων εφαρμογών IM.

Η αρχική μόλυνση επιτυγχάνεται εξαπατώντας το θύμα ώστε να ανοίξει κακόβουλα συνημμένα όπως αρχεία HTM, HTA και LNK που είναι μεταμφιεσμένα σε έγγραφα του

Microsoft

Word ή του Excel.

Μόλις το θύμα εκκινήσει τα κακόβουλα συνημμένα, τα σενάρια PowerShell και το κακόβουλο λογισμικό (συνήθως «GammaSteel») κατεβαίνουν και εκτελούνται στη συσκευή του θύματος.

Το αρχικό βήμα μόλυνσης τροποποιεί επίσης τα πρότυπα του

Microsoft Office

Word, έτσι ώστε όλα τα έγγραφα που δημιουργούνται στον μολυσμένο υπολογιστή να φέρουν μια κακόβουλη μακροεντολή που μπορεί να διαδώσει το κακόβουλο λογισμικό του Gamaredon σε άλλα συστήματα.

Το σενάριο PowerShell στοχεύει τα cookies του προγράμματος περιήγησης που περιέχουν δεδομένα περιόδου λειτουργίας για να επιτρέψει στους χάκερ να αναλάβουν λογαριασμούς στο διαδίκτυο που προστατεύονται από έλεγχο ταυτότητας δύο παραγόντων.

Όσον αφορά τη λειτουργικότητα του GammaSteel, το CERT-UA λέει ότι στοχεύει αρχεία με μια καθορισμένη λίστα επεκτάσεων που είναι: .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb.

Εάν οι επιτιθέμενοι ενδιαφέρονται για τα έγγραφα που βρίσκονται σε έναν υπολογιστή που έχει παραβιαστεί, τα διηθούν μέσα σε 30-50 λεπτά.

Μια άλλη ενδιαφέρουσα πτυχή των μολύνσεων Gamaredon είναι ότι οι φορείς απειλών εγκαθιστούν έως και 120 κακόβουλα μολυσμένα αρχεία την εβδομάδα στο παραβιασμένο σύστημα για να αυξήσουν την πιθανότητα εκ νέου μόλυνσης.

“Εάν κατά τη διάρκεια της διαδικασίας απολύμανσης, μετά τον καθαρισμό του μητρώου του λειτουργικού συστήματος, τη διαγραφή αρχείων, προγραμματισμένων εργασιών κ.λπ., τουλάχιστον ένα μολυσμένο αρχείο ή έγγραφο έχει μείνει στον υπολογιστή (πολύ συχνά οι χρήστες επανεγκαθιστούν το λειτουργικό σύστημα και μεταφέρουν “απαραίτητα” έγγραφα χωρίς έλεγχο ), τότε ο υπολογιστής πιθανότατα θα μολυνθεί ξανά.” εξηγεί

CERT-UA

(μηχανική μετάφραση).

Τυχόν USB sticks που εισάγονται στις θύρες ενός μολυσμένου υπολογιστή θα μολυνθούν αυτόματα με τα αρχικά συμβιβαστικά ωφέλιμα φορτία της Gamaredon, προάγοντας ενδεχομένως την παραβίαση σε απομονωμένα δίκτυα.

Τέλος, οι χάκερ αλλάζουν τις διευθύνσεις IP των διακομιστών εντολών και ελέγχου ενδιάμεσων θυμάτων τρεις έως έξι φορές την ημέρα, καθιστώντας πιο δύσκολο για τους υπερασπιστές να μπλοκάρουν ή να εντοπίσουν τις δραστηριότητές τους.

Προς το παρόν, το CERT-UA λέει ότι ο καλύτερος τρόπος για να περιοριστεί η αποτελεσματικότητα των επιθέσεων Gamaredon είναι ο αποκλεισμός ή ο περιορισμός της μη εξουσιοδοτημένης εκτέλεσης των mshta.exe, wscript.exe, cscript.exe και powershell.exe.