Κακόβουλο λογισμικό Backdoor που χρησιμοποιείται κατά Ουκρανικών αμυντικών οντοτήτων

Εντοπίστηκε μια νέα κερκόπορτα που βασίζεται σε .NET, με το όνομα DeliveryCheck (επίσης γνωστή ως CAPIBAR ή GAMEDAY), που στοχεύει συγκεκριμένα τον αμυντικό τομέα στην Ουκρανία και την Ανατολική Ευρώπη. Αυτή η εξελιγμένη κερκόπορτα έχει τη δυνατότητα να παραδίδει τα επόμενα ωφέλιμα φορτία.

Οι επιθέσεις έχουν αποδοθεί σε έναν Ρώσο ηθοποιό του έθνους-κράτους που ονομάζεται Turla, ο οποίος ακούγεται με διάφορα ονόματα όπως Iron Hunter, Secret Blizzard (πρώην Krypton), Uroburos, Venomous Bear και Waterbug. Η Turla είναι γνωστό ότι συνδέεται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB). Το διάνυσμα επίθεσης περιλαμβάνει τη διανομή του DeliveryCheck μέσω email, χρησιμοποιώντας έγγραφα που περιέχουν κακόβουλες μακροεντολές. Μόλις διεισδύσει, το DeliveryCheck επιμένει μέσω μιας προγραμματισμένης εργασίας, η οποία την κατεβάζει και την εκτελεί στη μνήμη. Επιπλέον, επικοινωνεί με έναν διακομιστή εντολών και ελέγχου (C2) για την ανάκτηση εργασιών, συμπεριλαμβανομένης της εκκίνησης αυθαίρετων ωφέλιμων φορτίων που είναι ενσωματωμένα σε φύλλα στυλ XSLT.

Η αρχική επίθεση χρησιμοποιεί εμφύτευμα Kazuar

Σε ορισμένες περιπτώσεις, η αρχική πρόσβαση συνοδεύεται από τη διανομή ενός γνωστού εμφυτεύματος Turla γνωστό ως Kazuar. Αυτό το εμφύτευμα είναι καλά εξοπλισμένο για να κλέβει αρχεία διαμόρφωσης εφαρμογών, αρχεία καταγραφής συμβάντων και διάφορα δεδομένα από προγράμματα περιήγησης ιστού. Ο κύριος στόχος αυτών των επιθέσεων είναι η εξαγωγή μηνυμάτων από την εφαρμογή ανταλλαγής μηνυμάτων Signal στα Windows, επιτρέποντας στους αντιπάλους να έχουν πρόσβαση σε ευαίσθητες συνομιλίες, έγγραφα και εικόνες στα στοχευμένα συστήματα.

Μια σημαντική πτυχή του DeliveryCheck είναι η ικανότητά του να θέτει σε κίνδυνο τους διακομιστές του Microsoft Exchange εγκαθιστώντας ένα στοιχείο διακομιστή χρησιμοποιώντας το PowerShell Desired State Configuration (DSC), μια πλατφόρμα που διευκολύνει την αυτοματοποιημένη διαμόρφωση των συστημάτων Windows. Αυτό επιτρέπει στο DSC να δημιουργήσει ένα αρχείο Managed Object Format (MOF) που περιέχει μια δέσμη ενεργειών PowerShell που φορτώνει το ενσωματωμένο ωφέλιμο φορτίο .NET στη μνήμη, μετατρέποντας ουσιαστικά έναν νόμιμο διακομιστή σε ένα κακόβουλο κέντρο C2.

Η Ουκρανία καταργεί το αγρόκτημα ρομπότ της προπαγάνδας

Παράλληλα, η Cyber Police της Ουκρανίας διέλυσε επιτυχώς μια μεγάλης κλίμακας φάρμα bot, εμπλέκοντας περισσότερα από 100 άτομα που συμμετείχαν στη διάδοση εχθρικής προπαγάνδας που δικαιολογούσε τη ρωσική εισβολή. Η ομάδα συμμετείχε επίσης στη διαρροή προσωπικών πληροφοριών που ανήκαν σε Ουκρανούς πολίτες και στην εκτέλεση διαφόρων σχεδίων απάτης. Στο πλαίσιο αυτής της επιχείρησης, πραγματοποιήθηκαν έρευνες σε 21 τοποθεσίες, με αποτέλεσμα την κατάσχεση εξοπλισμού ηλεκτρονικών υπολογιστών, κινητών τηλεφώνων, πάνω από 250 πύλες GSM και περίπου 150.000 κάρτες SIM που ανήκουν σε διαφορετικούς παρόχους κινητής τηλεφωνίας.