Malware backdoor utilizzato contro entità di difesa ucraine

È stata identificata una nuova backdoor basata su .NET, denominata DeliveryCheck (nota anche come CAPIBAR o GAMEDAY), destinata specificamente al settore della difesa in Ucraina e nell'Europa orientale. Questa sofisticata backdoor ha la capacità di fornire payload successivi.

Gli attacchi sono stati attribuiti a un attore di stato-nazione russo chiamato Turla, che ha vari nomi come Iron Hunter, Secret Blizzard (ex Krypton), Uroburos, Venomous Bear e Waterbug. Turla è noto per essere collegato al Servizio di sicurezza federale russo (FSB). Il vettore di attacco prevede la distribuzione di DeliveryCheck via e-mail, utilizzando documenti contenenti macro dannose. Una volta infiltrato, DeliveryCheck persiste attraverso un'attività pianificata, che lo scarica ed esegue in memoria. Inoltre, comunica con un server di comando e controllo (C2) per recuperare le attività, incluso l'avvio di payload arbitrari incorporati nei fogli di stile XSLT.

L'attacco iniziale utilizza l'impianto Kazuar

In alcuni casi, l'accesso iniziale è accompagnato dalla distribuzione di un noto impianto Turla noto come Kazuar. Questo impianto è ben attrezzato per rubare file di configurazione dell'applicazione, registri eventi e vari dati dai browser web. L'obiettivo principale di questi attacchi è esfiltrare i messaggi dall'app di messaggistica Signal su Windows, consentendo agli aggressori di accedere a conversazioni, documenti e immagini sensibili sui sistemi presi di mira.

Un aspetto significativo di DeliveryCheck è la sua capacità di compromettere i server Microsoft Exchange installando un componente lato server utilizzando PowerShell Desired State Configuration (DSC), una piattaforma che facilita la configurazione automatizzata dei sistemi Windows. Ciò consente a DSC di generare un file MOF (Managed Object Format) contenente uno script PowerShell che carica il payload .NET incorporato in memoria, trasformando efficacemente un server legittimo in un centro C2 dannoso.

L'Ucraina abbatte la fattoria dei bot di propaganda

Parallelamente, la polizia informatica ucraina ha smantellato con successo una fattoria di bot su larga scala, coinvolgendo più di 100 persone impegnate nella diffusione di propaganda ostile che giustificava l'invasione russa. Il gruppo è stato anche coinvolto nella fuga di informazioni personali appartenenti a cittadini ucraini e nell'esecuzione di vari schemi di frode. Nell'ambito di tale operazione sono state condotte perquisizioni in 21 località, che hanno portato al sequestro di apparecchiature informatiche, telefoni cellulari, oltre 250 gateway GSM e circa 150.000 SIM card appartenenti a diversi operatori di telefonia mobile.