Ukrán védelmi entitások ellen használt Backdoor malware

Egy új, DeliveryCheck (más néven CAPIBAR vagy GAMEDAY) .NET-alapú hátsó ajtót azonosítottak, amely kifejezetten az ukrajnai és kelet-európai védelmi szektort célozza meg. Ez a kifinomult hátsó ajtó képes a következő hasznos terhek szállítására.

A támadásokat egy Turla nevű orosz nemzetállami színésznek tulajdonítják, aki különféle neveken szerepel, mint például Vasvadász, Secret Blizzard (korábban Krypton), Uroburos, Venomous Bear és Waterbug. Turla köztudottan kapcsolatban áll az orosz Szövetségi Biztonsági Szolgálattal (FSZB). A támadási vektor magában foglalja a DeliveryCheck e-mailben történő terjesztését, rosszindulatú makrókat tartalmazó dokumentumok felhasználásával. A beszivárgás után a DeliveryCheck egy ütemezett feladaton keresztül működik, amely letölti és végrehajtja azt a memóriában. Ezenkívül kommunikál egy parancs- és vezérlőkiszolgálóval (C2) a feladatok lekérése érdekében, beleértve az XSLT-stíluslapokba ágyazott tetszőleges rakományok elindítását.

A kezdeti támadás Kazuar implantátumot használ

Egyes esetekben a kezdeti hozzáférést a Kazuar néven ismert Turla implantátum kiosztása kíséri. Ez az implantátum jól felszerelt az alkalmazások konfigurációs fájljainak, eseménynaplóinak és különféle adatainak ellopására a webböngészőkből. E támadások fő célja, hogy kiszűrjék az üzeneteket a Windows Signal üzenetküldő alkalmazásából, lehetővé téve az ellenfeleknek, hogy hozzáférjenek a megcélzott rendszereken lévő érzékeny beszélgetésekhez, dokumentumokhoz és képekhez.

A DeliveryCheck egyik fontos szempontja, hogy képes kompromittálni a Microsoft Exchange kiszolgálókat egy szerveroldali összetevő telepítésével a PowerShell Desired State Configuration (DSC) segítségével, amely platform megkönnyíti a Windows rendszerek automatizált konfigurálását. Ez lehetővé teszi a DSC számára, hogy felügyelt objektumformátumú (MOF) fájlt hozzon létre, amely egy PowerShell-szkriptet tartalmaz, amely betölti a beágyazott .NET hasznos adatot a memóriába, hatékonyan átalakítva a legitim kiszolgálót egy rosszindulatú C2 központtá.

Ukrajna leverte a Propaganda Bot Farmot

Ezzel párhuzamosan az ukrán kiberrendőrség sikeresen felszámolt egy nagyszabású botfarmot, több mint 100 személyt vádolva, akik az orosz inváziót indokoló ellenséges propagandát terjesztették. A csoport ukrán állampolgárokhoz tartozó személyes adatok kiszivárogtatásában és különböző csalási tervek végrehajtásában is részt vett. Az akció keretében 21 helyen tartottak házkutatást, melynek eredményeként számítástechnikai eszközöket, mobiltelefonokat, több mint 250 GSM-átjárót és mintegy 150.000 különböző mobilszolgáltatóhoz tartozó SIM-kártyát foglaltak le.