Российская хакерская группа Shuckworm по-прежнему нацелена на организации безопасности Украины

Аналитики безопасности компании Symantec, входящей в состав Broadcom, сообщили, что российская государственная хакерская группа Gamaredon, также известная как Shuckworm, по-прежнему нацелена на организации безопасности Украины, такие как военные и правоохранительные органы, используя обновленный инструментарий и новые методы заражения.

Аналитики безопасности упоминают, что злоумышленники недавно начали использовать USB-вредоносное ПО для распространения на большее количество систем внутри скомпрометированной сети.

Ранее российские хакеры, связанные с ФСБ, были замечены в использовании кражи информации против украинских организаций и применении вариантов своего вредоносного ПО Pterodo, а также использовали захватчики стандартных шаблонов Word для новых инфекций.

Теперь, что более интересно в недавней активности Gamaredon, так это то, что они нацеливаются на отделы кадров, что, вероятно, указывает на то, что злоумышленники ищут возможности для атак с использованием целевой фишинга внутри скомпрометированной организации.

Согласно отчету аналитиков, активность российской хакерской группы возросла в феврале и марте, и Gamaredon продолжал ощущать свое присутствие на некоторых зараженных машинах до мая 2023 года.

Российская хакерская группа, поддерживаемая государством, по-прежнему полагается на фишинговые электронные письма для первоначального заражения. Хотя целью злоумышленников являются военные и правоохранительные организации, они также сосредоточены на отделе кадров организации.

Фишинговые электронные письма от злоумышленников содержат вложения SFX, RAR, DOCX, LNK и HTA; если цель откроет их, вложения запускают команду PowerShell, которая загружает полезную нагрузку Pterodo с сервера C2 злоумышленника.

Команда исследования угроз, Symantec, упоминает, что они протестировали двадцать пять вариантов скриптов PowerShell с января по апрель этого года, используя различные уровни обфускации и указывая на разные IP-адреса, загружающие Pterodo, чтобы избежать статических правил обнаружения.

Читать: Royal Ransomware использует шифратор Blacksuit для атак на предприятия

Итак, PowerShell копирует себя на скомпрометированное устройство и создает файл ярлыка, используя расширение rtk.lnk. LNK, созданные скриптами, имеют широкий спектр имен, и некоторые из них выбраны, чтобы вызвать интерес у цели, такие как,

Login_password. docx.Ink  
sectret.rtf.Ink  
weapons_lists.rtf.Ink  
my_photos.rtf.Ink  
compromising_evidence.rtf.Ink  
account_card.rtf.Ink  
pornophoto.rtf.Ink  
instructions.rtf.Ink  
bank_accounts.rtf.Ink

Когда жертва открывает эти файлы, скрипт PowerShell перечисляет все диски на зараженном компьютере и копирует себя на съемные USB-диски, что увеличивает вероятность бокового перемещения внутри зараженной сети.

Кроме того, аналитики обнаружили файл foto.safe с одной из скомпрометированных машин хакерской группы, файл содержит скрипт PowerShell, закодированный в base64.

Теперь, согласно команде исследования угроз, машина была скомпрометирована после подключения зараженного USB-накопителя. При этом остается неизвестным, как USB-накопитель был заражен.

Symantec предупреждает и говорит, что USB-накопители, возможно, используются злоумышленниками для бокового перемещения по сети цели и могут быть использованы, чтобы помочь злоумышленникам добраться до компонентов, которые не подключены к сети внутри целевой организации.

Читать: Компрометация Atomic Wallet приводит к миллионам украденных криптовалют