RoarBAT Malware fundet af ukrainsk CERT
Ukraines Computer Emergency Response Team (CERT-UA) har rapporteret en igangværende phishing-kampagne, der bruger lokker med fakturatema til at sprede SmokeLoader-malwaren. E-mails sendes fra kompromitterede konti og indeholder et ZIP-arkiv, der faktisk er en polyglot-fil med et lokkedokument og en JavaScript-fil. Denne fil bruges til at udføre SmokeLoader-malwaren, hvis mål er at downloade mere effektiv malware på inficerede systemer. CERT-UA har tilskrevet denne aktivitet til UAC-0006, en økonomisk motiveret trusselsaktør, der søger at stjæle legitimationsoplysninger og overføre penge uden tilladelse.
Derudover har Ukraines cybersikkerhedsmyndighed afsløret et destruktivt angreb mod offentlige organisationer udført af UAC-0165, en gruppe som CERT-UA moderat har tilskrevet Sandworm-gruppen. Angrebet involverede en batch-script-baseret wiper-malware kaldet RoarBAT, der rekursivt søgte efter filer med specifikke udvidelser og slettede dem ved hjælp af det legitime WinRAR-værktøj. Gruppen kompromitterede også Linux-systemer ved hjælp af et bash-script, der overskrev filer med nul bytes for at undgå opdagelse.
Angrebet blev lettet af manglen på MFA ved fjernforbindelser til VPN. Den destruktive virkning af angrebet forårsagede svækkelse af elektroniske computere, serverudstyr, automatiserede brugerarbejdspladser og datalagringssystemer.
Hvad er Avancerede Persistent Threat Actors?
Advanced Persistent Threat (APT)-aktører er højtuddannede og motiverede cyberangribere, som udfører langsigtede, målrettede cyberspionagekampagner mod specifikke mål såsom offentlige agenturer, kritisk infrastruktur eller store virksomheder. Disse angribere bruger sofistikerede teknikker til at få uautoriseret adgang til følsom information og systemer med det formål at stjæle værdifuld intellektuel ejendom, klassificeret information eller finansielle data.
APT'er bruger typisk en kombination af taktikker, såsom spear-phishing, social engineering, malware og fjernadgangsværktøjer for at få adgang til målrettede systemer. Når de først får adgang, kan APT-aktører etablere fodfæste i netværket, bevæge sig sideværts inden for målmiljøet og forblive uopdaget i lange perioder, mens de eksfiltrerer data.
APT-aktører er ofte statssponsorerede med opbakning fra nationalstater eller andre store organisationer, der har betydelige ressourcer til at understøtte deres cyberoperationer. De kan dog også være økonomisk motiverede, idet de arbejder på vegne af kriminelle organisationer, der søger at stjæle værdifulde data for profit.
Forsvar mod APT-angreb kræver en mangefacetteret tilgang, der inkluderer avancerede trusselsdetektions- og reaktionsfunktioner, stærk sikkerhedshygiejnepraksis og kontinuerlig overvågning af netværksaktivitet for tegn på mistænkelig adfærd.