Russische Hackergruppe Shuckworm zielt weiterhin auf Sicherheitsorganisationen in der Ukraine ab

Sicherheitsanalysten von Symantec, einem Teil von Broadcom, berichteten, dass die russische staatlich finanzierte Hackergruppe Gamaredon, auch bekannt als Shuckworm, weiterhin die Sicherheitsorganisationen der Ukraine, wie Militär- und Sicherheitsbehörden, mit einem aktualisierten Toolkit und neueren Infektionstechniken angreift.

Sicherheitsanalysten erwähnen, dass die Bedrohungsakteure kürzlich begonnen haben, USB-Malware zu verwenden, um sich auf mehr Systeme innerhalb des kompromittierten Netzwerks auszubreiten.

Zuvor wurden die mit dem FSB verbundenen russischen Hacker dabei beobachtet, wie sie Informationsdiebe gegen ukrainische Organisationen einsetzten und Varianten ihrer eigenen Pterodo-Malware verwendeten, während sie Standard-Word-Vorlagen-Hijacker für die neuen Infektionen nutzten.

Jetzt ist das Interessanteste an der jüngsten Aktivität von Gamaredon, dass sie HR-Abteilungen ins Visier nehmen, was wahrscheinlich darauf hindeutet, dass die Bedrohungsakteure nach Spear-Phishing-Angriffen innerhalb der kompromittierten Organisation suchen.

Laut dem Bericht der Analysten nahm die Aktivität der russischen Hackergruppe im Februar und März zu, und Gamaredon setzte ihre Präsenz auf einigen der infizierten Maschinen bis Mai 2023 fort.

Die von dem russischen Staat unterstützte Hackergruppe verlässt sich weiterhin auf Phishing-E-Mails für die anfängliche Infektion. Obwohl das Ziel der Bedrohungsakteure militärische und Sicherheitsorganisationen sind, konzentrieren sie sich auch auf die HR-Abteilung der Organisation.

Die Phishing-E-Mails der Bedrohungsakteure enthalten SFX-, RAR-, DOCX-, LNK- und HTA-Anhänge; wenn das Ziel sie öffnet, starten die Anhänge den PowerShell-Befehl, der die Pterodo-Nutzlast vom C2-Server des Bedrohungsakteurs herunterlädt.

Das Bedrohungsforschungsteam von Symantec erwähnt, dass sie von Januar bis April dieses Jahres fünfundzwanzig Varianten der PowerShell-Skripte getestet haben, wobei unterschiedliche Ebenen der Obfuskation verwendet wurden und auf verschiedene Pterodo-heruntergeladene IP-Adressen verwiesen wurde, um statische Erkennungsregeln zu vermeiden.

Lesen: Royal Ransomware verwendet den Blacksuit Encryptor, um Unternehmen anzugreifen

Nun, die PowerShell kopiert sich selbst auf das kompromittierte Gerät und erstellt eine Verknüpfungsdatei mit der Erweiterung rtk.lnk. Die von den Skripten erstellten LNK-Dateien tragen eine Vielzahl von Namen, von denen einige ausgewählt wurden, um das Interesse des Ziels zu wecken, wie:

Login_password. docx.Ink  
sectret.rtf.Ink  
weapons_lists.rtf.Ink  
my_photos.rtf.Ink  
compromising_evidence.rtf.Ink  
account_card.rtf.Ink  
pornophoto.rtf.Ink  
instructions.rtf.Ink  
bank_accounts.rtf.Ink

Wenn das Opfer diese Dateien öffnet, listet das PowerShell-Skript alle Laufwerke auf dem infizierten Computer auf und kopiert sich auf abnehmbaren USB-Disketten, was die Wahrscheinlichkeit einer lateralen Bewegung innerhalb des infizierten Netzwerks erhöht.

Darüber hinaus entdeckten die Analysten eine foto.safe-Datei von einer der kompromittierten Maschinen der Hackergruppe, die eine base64-kodierte PowerShell-Skript enthält.

Nun, laut dem Bedrohungsforschungsteam wurde die Maschine kompromittiert, nachdem ein infizierter USB-Stick in die Maschine eingesteckt wurde. Damit gesagt, ist es immer noch unklar, wie der USB-Stick infiziert wurde.

Symantec warnt und sagt, dass die USB-Sticks möglicherweise von den Bedrohungsakteuren für die laterale Bewegung im Netzwerk des Ziels verwendet werden und möglicherweise dazu genutzt werden, den Bedrohungsakteuren zu helfen, auf die Komponenten zuzugreifen, die nicht mit dem Netzwerk innerhalb der Zielorganisation verbunden sind.

Lesen: Kompromittierung von Atomic Wallet führt zu Millionen gestohlener Kryptowährungen