Κακόβουλο λογισμικό RoarBAT Εντοπίστηκε από την Ουκρανική CERT
Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) ανέφερε μια συνεχιζόμενη εκστρατεία ηλεκτρονικού ψαρέματος που χρησιμοποιεί θέλγητρα με θέμα τιμολόγια για τη διάδοση του κακόβουλου λογισμικού SmokeLoader. Τα μηνύματα ηλεκτρονικού ταχυδρομείου αποστέλλονται από παραβιασμένους λογαριασμούς και περιέχουν ένα αρχείο ZIP που είναι στην πραγματικότητα ένα αρχείο πολυγλωσσίας με ένα έγγραφο δόλωμα και ένα αρχείο JavaScript. Αυτό το αρχείο χρησιμοποιείται για την εκτέλεση του κακόβουλου λογισμικού SmokeLoader, στόχος του οποίου είναι η λήψη πιο αποτελεσματικού κακόβουλου λογισμικού σε μολυσμένα συστήματα. Η CERT-UA έχει αποδώσει αυτή τη δραστηριότητα στο UAC-0006, έναν παράγοντα απειλής με οικονομικά κίνητρα που επιδιώκει να κλέψει διαπιστευτήρια και να μεταφέρει κεφάλαια χωρίς εξουσιοδότηση.
Επιπλέον, η αρχή κυβερνοασφάλειας της Ουκρανίας αποκάλυψε μια καταστροφική επίθεση εναντίον οργανισμών του δημόσιου τομέα που πραγματοποιήθηκε από την UAC-0165, μια ομάδα που η CERT-UA έχει συγκρατημένα αποδώσει στην ομάδα Sandworm. Η επίθεση περιελάμβανε ένα κακόβουλο λογισμικό υαλοκαθαριστήρων βασισμένο σε δέσμες ενεργειών που ονομάζεται RoarBAT το οποίο αναδρομικά αναζητούσε αρχεία με συγκεκριμένες επεκτάσεις και τα διέγραψε χρησιμοποιώντας το νόμιμο βοηθητικό πρόγραμμα WinRAR. Η ομάδα επίσης παραβίασε συστήματα Linux χρησιμοποιώντας ένα σενάριο bash που αντικατέστησε αρχεία με μηδέν byte για να αποφύγει τον εντοπισμό.
Η επίθεση διευκολύνθηκε από την έλλειψη MFA κατά την πραγματοποίηση απομακρυσμένων συνδέσεων με VPN. Ο καταστροφικός αντίκτυπος της επίθεσης προκάλεσε βλάβες στους ηλεκτρονικούς υπολογιστές, στον εξοπλισμό διακομιστών, στους αυτοματοποιημένους χώρους εργασίας των χρηστών και στα συστήματα αποθήκευσης δεδομένων.
Τι είναι οι προχωρημένοι ηθοποιοί επίμονης απειλής;
Οι φορείς Advanced Persistent Threat (APT) είναι επιτιθέμενοι στον κυβερνοχώρο με υψηλή εξειδίκευση και κίνητρα που διεξάγουν μακροχρόνιες, στοχευμένες εκστρατείες κατασκοπείας στον κυβερνοχώρο εναντίον συγκεκριμένων στόχων, όπως κυβερνητικές υπηρεσίες, κρίσιμες υποδομές ή μεγάλες εταιρείες. Αυτοί οι εισβολείς χρησιμοποιούν εξελιγμένες τεχνικές για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες και συστήματα, με στόχο την κλοπή πολύτιμης πνευματικής ιδιοκτησίας, διαβαθμισμένων πληροφοριών ή οικονομικών δεδομένων.
Τα APT χρησιμοποιούν συνήθως έναν συνδυασμό τακτικών, όπως spear-phishing, κοινωνική μηχανική, κακόβουλο λογισμικό και εργαλεία απομακρυσμένης πρόσβασης για να αποκτήσουν πρόσβαση σε στοχευμένα συστήματα. Μόλις αποκτήσουν πρόσβαση, οι φορείς APT μπορούν να δημιουργήσουν μια βάση στο δίκτυο, να μετακινηθούν πλευρικά εντός του περιβάλλοντος στόχου και να παραμείνουν απαρατήρητοι για μεγάλα χρονικά διαστήματα ενώ διεισδύουν δεδομένα.
Οι φορείς APT είναι συχνά χρηματοδοτούμενοι από το κράτος, με την υποστήριξη εθνικών κρατών ή άλλων μεγάλων οργανισμών που διαθέτουν σημαντικούς πόρους για να υποστηρίξουν τις επιχειρήσεις τους στον κυβερνοχώρο. Ωστόσο, μπορεί επίσης να έχουν οικονομικά κίνητρα, εργάζονται για λογαριασμό εγκληματικών οργανώσεων που επιδιώκουν να κλέψουν πολύτιμα δεδομένα με σκοπό το κέρδος.
Η άμυνα από επιθέσεις APT απαιτεί μια πολύπλευρη προσέγγιση που περιλαμβάνει προηγμένες δυνατότητες ανίχνευσης και απόκρισης απειλών, ισχυρές πρακτικές υγιεινής ασφαλείας και συνεχή παρακολούθηση της δραστηριότητας του δικτύου για ενδείξεις ύποπτης συμπεριφοράς.
