Microsoft в пятницу рассказала о тактике, методах и процедурах (TTP), принятых российской хакерской группой Gamaredon для облегчения шквала кибершпионских атак, направленных на несколько организаций в Украине за последние шесть месяцев.
Утверждается, что в атаках были выбраны правительственные, военные, неправительственные организации (НПО), судебные органы, правоохранительные органы и некоммерческие организации с основной целью эксфильтрации конфиденциальной информации, сохранения доступа и использования ее для бокового перемещения в соответствующие организации. организации.
Центр анализа угроз (MSTIC) производителя Windows отслеживает кластер под псевдонимом ACTINIUM (ранее как DEV-0157), придерживаясь своей традиции идентифицировать действия национальных государств по именам химических элементов.
Правительство Украины в ноябре 2021 года публично приписало «Гамаредон» Федеральной службе безопасности (ФСБ) России и связало его деятельность с Управлением ФСБ России по Республике Крым и городу Севастополю.
Стоит отметить, что группа угроз Gamaredon представляет собой уникальный набор атак, отделенных от кибератак прошлого месяца, которые вывели из строя несколько украинских государственных учреждений и юридических лиц с помощью деструктивного вредоносного ПО для стирания данных, замаскированного под программу-вымогатель.
Атаки в основном используют адресные фишинговые электронные письма в качестве начального вектора доступа, при этом сообщения содержат вложенные макросы с вредоносным ПО, которые используют удаленные шаблоны, содержащие вредоносный код, когда получатели открывают сфальсифицированные документы.
Применяя интересную тактику, операторы также встраивают в тело фишингового сообщения «веб-ошибку» в виде пикселя слежения, чтобы отслеживать, было ли сообщение открыто, после чего цепочка заражения запускает многоэтапный процесс, кульминацией которого является развертывание нескольких двоичных файлов, в том числе —
PowerPunch - дроппер и загрузчик на основе PowerShell, используемые для удаленного извлечения исполняемых файлов следующего этапа.
Pterodo — постоянно развивающийся многофункциональный бэкдор, который также обладает рядом возможностей, призванных усложнить анализ
QuietSieve — сильно запутанный бинарный файл .NET, специально предназначенный для кражи данных и разведки на целевом хосте.
«Хотя семейство вредоносных программ QuietSieve в первую очередь предназначено для эксфильтрации данных со скомпрометированного хоста, оно также может получать и выполнять удаленную полезную нагрузку от оператора», — пояснили исследователи, а также указали на его способность делать скриншоты скомпрометированного хоста. примерно каждые пять минут.
Это далеко не единственное вторжение, инсценированное злоумышленником, который в прошлом месяце также нанес удар по неназванной западной правительственной организации в Украине, разместив резюме с вредоносным ПО для активного списка вакансий с организацией, размещенной на местном портале вакансий. В декабре 2021 года он также был нацелен на Государственную миграционную службу (ГМС) страны.
Выводы также получены после того, как Cisco Talos в своем продолжающемся анализе январских инцидентов раскрыла подробности продолжающейся кампании по дезинформации, пытающейся приписать атаки с порчей и вайперами украинским группам, которые насчитывают не менее девяти месяцев.
Ссылка на статью https://lespartisanes.org/microsoft-raskryvaet-novye-podrobnosti-rossijskoj-hakerskoj-kampanii/