Bakdørs skadelig programvare brukt mot ukrainske forsvarsenheter
En ny .NET-basert bakdør, kalt DeliveryCheck (også kjent som CAPIBAR eller GAMEDAY), er identifisert, spesifikt rettet mot forsvarssektoren i Ukraina og Øst-Europa. Denne sofistikerte bakdøren har evnen til å levere påfølgende nyttelast.
Angrepene har blitt tilskrevet en russisk nasjonalstatsaktør kalt Turla, som går under forskjellige navn som Iron Hunter, Secret Blizzard (tidligere Krypton), Uroburos, Venomous Bear og Waterbug. Turla er kjent for å være knyttet til Russlands føderale sikkerhetstjeneste (FSB). Angrepsvektoren involverer distribusjon av DeliveryCheck via e-post, ved å bruke dokumenter som inneholder ondsinnede makroer. Når den er infiltrert, fortsetter DeliveryCheck gjennom en planlagt oppgave, som laster ned og kjører den i minnet. Videre kommuniserer den med en kommando-og-kontroll-server (C2) for å hente oppgaver, inkludert lansering av vilkårlige nyttelaster innebygd i XSLT-stilark.
Innledende angrep bruker Kazuar-implantat
I noen tilfeller er den første tilgangen ledsaget av distribusjonen av et kjent Turla-implantat kjent som Kazuar. Dette implantatet er godt utstyrt for å stjele programkonfigurasjonsfiler, hendelseslogger og ulike data fra nettlesere. Hovedmålet med disse angrepene er å eksfiltrere meldinger fra Signalmeldingsappen på Windows, slik at motstanderne får tilgang til sensitive samtaler, dokumenter og bilder på de målrettede systemene.
Et viktig aspekt ved DeliveryCheck er dens evne til å kompromittere Microsoft Exchange-servere ved å installere en komponent på serversiden ved å bruke PowerShell Desired State Configuration (DSC), en plattform som forenkler automatisert konfigurasjon av Windows-systemer. Dette lar DSC generere en MOF-fil (Managed Object Format) som inneholder et PowerShell-skript som laster den innebygde .NET-nyttelasten inn i minnet, og forvandler en legitim server til et ondsinnet C2-senter.
Ukraina tar ned propagandabotfarm
Parallelt med suksess demonterte Cyber Police i Ukraina en storskala botfarm, og involverte mer enn 100 individer som var engasjert i å spre fiendtlig propaganda som rettferdiggjorde den russiske invasjonen. Gruppen var også involvert i å lekke personlig informasjon som tilhørte ukrainske borgere og utføre ulike svindelordninger. Som en del av denne operasjonen ble det utført søk på 21 steder, noe som resulterte i beslagleggelse av datautstyr, mobiltelefoner, over 250 GSM-gatewayer og rundt 150 000 SIM-kort tilhørende forskjellige mobiloperatører.