Хакеры, работающие на российскую ФСБ, осуществили несколько кибератак, используя вредоносное программное обеспечение на базе USB для похищения больших объемов данных из украинских военных объектов.
Источник: ArsTechnica
Российские хакеры направили новый вирус против украинских военныхих
Злонамеренную кампанию обнаружили исследователи из компании Symantec, которая сейчас принадлежит Broadcom. Сообщается, что секторы и характер организаций и компьютеров, на которые были направлены атаки, могли предоставить злоумышленникам доступ к значительным объемам конфиденциальной информации. В некоторых организациях были признаки того, что злоумышленники работали на компьютерах отделов кадров – это намекает на то, что для хакеров приоритетной была информация о работниках и личном составе ВСУ.
Группа, которую Symantec отслеживает как Shuckworm, другие исследователи называют Gamaredon или Armageddon. Она действует с 2014 года, связана с ФСБ России и сосредоточена исключительно на получении разведывательной информации об украинских объектах. В 2020 году исследователи охранной компании SentinelOne заявили, что эти хакеры "атаковали более 5 000 отдельных организаций по всей Украине, уделяя особое внимание районам, где дислоцируются украинские войска".
В феврале Shuckworm начали развертывать новое вредоносное программное обеспечение и командно-контрольную инфраструктуру, успешно проникшую в систему защиты многих украинских организаций в военной сфере, службах безопасности и правительстве, утверждает Symantec.
В этой кампании дебютировало новое вредоносное ПО в виде скрипта PowerShell, который распространяет Pterodo, бекдор, созданный Shuckworm. Скрипт активируется, когда зараженные USB-накопители подключаются к компьютерам-мишеням. Вредоносный скрипт сначала копирует себя на компьютер-жертву и создает файл быстрого доступа с расширением rtf.lnk. У файлов такие имена, как video_porn.rtf.lnk, do_not_delete.rtf.lnk и evidence.rtf.lnk. Имя, как пишет источник, является попыткой побудить жертв открыть эти файлы, чтобы они установили Pterodo на компьютеры.
Далее скрипт перечисляет все диски, подключенные к компьютеру-мишени, и копирует себя на все подключенные съемные диски, вероятнее всего, в надежде заразить какие-либо устройства, намеренно не подключенные к интернету, чтобы предотвратить их взлом.
Чтобы вместо следов, Shuckworm создали десятки вариантов и быстро изменили IP-адреса и инфраструктуру, используемую для командования и контроля. Группировка также использует легальные сервисы, такие как Telegram и платформу микроблогов Telegraph, для командования и контроля во избежание разоблачения.
Что известно о Shuckworm
Shuckworm обычно использует фишинговые электронные письма как начальный вектор проникновения на компьютеры жертв. Письма содержат вредные вложения, которые маскируются под файлы с расширениями .docx, .rar, .sfx, lnk и hta. В письмах часто используются такие темы, как вооруженные конфликты, уголовные производства, борьба с преступностью и защита детей как приманки, чтобы заставить жертву открыть письмо и нажать на вложенные файлы.
Shuckworm также продолжает обновлять методы маскировки, пытаясь избежать обнаружения: с января по апрель 2023 ежемесячно появлялось до 25 новых вариантов скриптов этой группы.
Читайте также:
Украинские хакеры взломали брифинг МИД РФ по кибербезопасности и спели гимн — видео
В сеть слили исходные коды более 10 сервисов "Яндекса" — что это значит
Военные армии РФ случайно слили украинским хакерам координаты базы в Мелитополе
