Bagdørsmalware brugt mod ukrainske forsvarsenheder
En ny .NET-baseret bagdør, kaldet DeliveryCheck (også kendt som CAPIBAR eller GAMEDAY), er blevet identificeret, specifikt rettet mod forsvarssektoren i Ukraine og Østeuropa. Denne sofistikerede bagdør har evnen til at levere efterfølgende nyttelast.
Angrebene er blevet tilskrevet en russisk nationalstatsskuespiller ved navn Turla, som går under forskellige navne som Iron Hunter, Secret Blizzard (tidligere Krypton), Uroburos, Venomous Bear og Waterbug. Turla er kendt for at være knyttet til Ruslands føderale sikkerhedstjeneste (FSB). Angrebsvektoren involverer distribution af DeliveryCheck via e-mail, ved at bruge dokumenter, der indeholder ondsindede makroer. Når først de er infiltreret, fortsætter DeliveryCheck gennem en planlagt opgave, som downloader og udfører den i hukommelsen. Desuden kommunikerer den med en kommando-og-kontrol-server (C2) for at hente opgaver, herunder lancering af vilkårlige nyttelaster indlejret i XSLT-stylesheets.
Indledende angreb bruger Kazuar-implantat
I nogle tilfælde er den første adgang ledsaget af distributionen af et kendt Turla-implantat kendt som Kazuar. Dette implantat er veludstyret til at stjæle applikationskonfigurationsfiler, hændelseslogfiler og forskellige data fra webbrowsere. Hovedformålet med disse angreb er at fjerne beskeder fra Signal-meddelelsesappen på Windows, hvilket gør det muligt for modstanderne at få adgang til følsomme samtaler, dokumenter og billeder på de målrettede systemer.
Et væsentligt aspekt af DeliveryCheck er dets evne til at kompromittere Microsoft Exchange-servere ved at installere en server-side-komponent ved hjælp af PowerShell Desired State Configuration (DSC), en platform, der letter den automatiserede konfiguration af Windows-systemer. Dette gør det muligt for DSC at generere en MOF-fil (Managed Object Format), der indeholder et PowerShell-script, der indlæser den indlejrede .NET-nyttelast i hukommelsen, hvilket effektivt transformerer en legitim server til et ondsindet C2-center.
Ukraine nedlægger propagandabotfarm
Parallelt hermed lykkedes det Ukraines Cyberpoliti at afmontere en storstilet botfarm, hvilket involverede mere end 100 personer, der var engageret i at sprede fjendtlig propaganda, der retfærdiggør den russiske invasion. Gruppen var også involveret i at lække personlige oplysninger tilhørende ukrainske borgere og udføre forskellige svindelordninger. Som en del af denne operation blev der foretaget ransagninger 21 steder, hvilket resulterede i beslaglæggelse af computerudstyr, mobiltelefoner, over 250 GSM-gateways og omkring 150.000 SIM-kort tilhørende forskellige mobiloperatører.
