„Backdoor“ kenkėjiška programa, naudojama prieš Ukrainos gynybos subjektus

Buvo nustatytas naujas .NET pagrindu sukurtas užpakalinis durelis, pavadintas DeliveryCheck (taip pat žinomas kaip CAPIBAR arba GAMEDAY), ypač skirtas gynybos sektoriui Ukrainoje ir Rytų Europoje. Šios sudėtingos užpakalinės durys gali pristatyti vėlesnius naudingus krovinius.

Išpuoliai buvo priskirti Rusijos nacionalinės valstybės veikėjui, vardu Turla, kuris vadinamas įvairiais pavadinimais, tokiais kaip „Iron Hunter“, „Secret Blizzard“ (buvęs „Krypton“), „Uroburos“, „Venomous Bear“ ir „Waterbug“. Yra žinoma, kad Turla yra susijusi su Rusijos Federaline saugumo tarnyba (FSB). Atakos vektorius apima DeliveryCheck platinimą el. paštu, naudojant dokumentus, kuriuose yra kenkėjiškų makrokomandų. Įsiskverbusi „DeliveryCheck“ atlieka suplanuotą užduotį, kuri ją atsisiunčia ir vykdo atmintyje. Be to, jis susisiekia su komandų ir valdymo (C2) serveriu, kad gautų užduotis, įskaitant savavališkų naudingų krovinių, įterptų į XSLT stilių lapus, paleidimą.

Pradinė priepuolio metu naudojamas Kazuar implantas

Kai kuriais atvejais pradinę prieigą lydi žinomo Turla implanto, žinomo kaip Kazuar, platinimas. Šis implantas puikiai tinka pavogti programų konfigūracijos failus, įvykių žurnalus ir įvairius duomenis iš interneto naršyklių. Pagrindinis šių atakų tikslas – išfiltruoti pranešimus iš „Windows“ sistemos „Signal“ pranešimų programos, kad priešininkai galėtų pasiekti slaptus pokalbius, dokumentus ir vaizdus tikslinėse sistemose.

Svarbus DeliveryCheck aspektas yra jos gebėjimas pažeisti „Microsoft Exchange“ serverius, įdiegiant serverio komponentą naudojant „PowerShell Desired State Configuration“ (DSC), platformą, kuri palengvina automatinį „Windows“ sistemų konfigūravimą. Tai leidžia DSC sugeneruoti valdomo objekto formato (MOF) failą, kuriame yra PowerShell scenarijus, kuris įkelia įdėtąjį .NET naudingąjį apkrovą į atmintį, efektyviai paversdamas teisėtą serverį kenkėjišku C2 centru.

Ukraina griauna propagandos botų ūkį

Tuo pačiu metu Ukrainos kibernetinė policija sėkmingai išardė didelio masto botų fermą, įtraukdama į daugiau nei 100 asmenų, skleidusių priešišką propagandą, pateisinančią Rusijos invaziją. Grupuotė taip pat buvo susijusi su Ukrainos piliečiams priklausančios asmeninės informacijos nutekėjimu ir įvairių sukčiavimo schemų vykdymu. Vykdant šią operaciją 21 vietoje buvo atliktos kratos, kurių metu buvo paimta kompiuterinė įranga, mobilieji telefonai, per 250 GSM tinklų sietuvų ir apie 150 000 SIM kortelių, priklausančių skirtingiems mobiliojo ryšio operatoriams.