Hakerzy z grupy Gamaredon APT atakują ostatnio instalacje IT użytkowników z Ukrainy. Także komputery, które należą do agencji rządowych tego kraju. Celem ataków jest umieszczenie w pamięci komputerów złośliwego oprogramowania wykradającego dane.
Hakerzy wykorzystują dokumenty phishingowe, które bazują na informacjach związanych z napaścią Rosji na Ukrainę . Implikują dokumenty Microsoft Office zawierające złośliwe makra VBScript . Pobierają one i otwierają archiwa RAR z plikami LNK. Następnie pobierają i aktywują etap payloadu na zainfekowanym urządzeniu.
Na trop działań hakerów wpadli informatycy Cisco Talos. Zauważyli oni też podobieństwa tych działań do tych, które zostały przypisane niedawno grupie Gamaredon przez ukraiński Zespół Reagowania na Incydenty Komputerowe (CERT-UA).
– Natrafiliśmy również na próby włamań do kilku ukraińskich instytucji. W oparciu o te obserwacje oraz historię operacyjną Gamaredona, w czasie której niemal wyłącznie celował w Ukrainę, oceniamy, że najnowsza kampania jest niemal na pewno bezpośrednio skierowana w podmioty mające siedzibę w Ukrainie – mówi Nick Biasini z Cisco Talos.
Jeden z odkrytych plików, które zostały przez hakerów wdrożone za pośrednictwem PowerShell składał się z infostealera, który infekuje pliki o rozszerzeniach: : .doc, .docx, .xls, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z i .mdb. To nowy infostealer nieużywany przez grupę hakerską wcześniej.
Oprogramowanie o nazwie Infostealer ma dwa cele:
– możliwość eksfiltracji plików,
– wdrażanie zainfekowanych urządzeń końcowych.
Jeśli ofiara uruchomi zainfekowany plik, to złośliwe oprogramowanie zeskanuje wszystkie podłączone do pamięci masowej urządzenia. Będzie poszukiwało plików z wymienionymi rozszerzeniami.
Źródło: Computerworld.pl
