RoarBAT Malware oppdaget av ukrainsk CERT
Computer Emergency Response Team of Ukraine (CERT-UA) har rapportert en pågående phishing-kampanje som bruker faktura-tema lokker for å spre SmokeLoader malware. E-postene sendes fra kompromitterte kontoer og inneholder et ZIP-arkiv som egentlig er en polyglot-fil med et lokkedokument og en JavaScript-fil. Denne filen brukes til å kjøre SmokeLoader malware, hvis mål er å laste ned mer effektiv skadelig programvare på infiserte systemer. CERT-UA har tilskrevet denne aktiviteten til UAC-0006, en økonomisk motivert trusselaktør som forsøker å stjele legitimasjon og overføre midler uten autorisasjon.
I tillegg har Ukrainas cybersikkerhetsmyndighet avslørt et destruktivt angrep mot organisasjoner i offentlig sektor utført av UAC-0165, en gruppe som CERT-UA moderat har tilskrevet Sandworm-gruppen. Angrepet involverte en batch script-basert wiper malware kalt RoarBAT som rekursivt søkte etter filer med spesifikke utvidelser og slettet dem ved å bruke det legitime WinRAR-verktøyet. Gruppen kompromitterte også Linux-systemer ved å bruke et bash-skript som overskrev filer med null byte for å unngå oppdagelse.
Angrepet ble forenklet av mangelen på MFA ved fjerntilkobling til VPN. Den destruktive virkningen av angrepet forårsaket svekkelser av elektroniske datamaskiner, serverutstyr, automatiserte brukerarbeidsplasser og datalagringssystemer.
Hva er avanserte vedvarende trusselskuespillere?
Advanced Persistent Threat (APT)-aktører er svært dyktige og motiverte cyberangripere som gjennomfører langsiktige, målrettede cyberspionasjekampanjer mot spesifikke mål som offentlige etater, kritisk infrastruktur eller store selskaper. Disse angriperne bruker sofistikerte teknikker for å få uautorisert tilgang til sensitiv informasjon og systemer, med mål om å stjele verdifull intellektuell eiendom, klassifisert informasjon eller økonomiske data.
APT-er bruker vanligvis en kombinasjon av taktikker, for eksempel spear-phishing, sosial manipulering, malware og fjerntilgangsverktøy for å få tilgang til målrettede systemer. Når de får tilgang, kan APT-aktører etablere fotfeste i nettverket, bevege seg sideveis innenfor målmiljøet og forbli uoppdaget i lange perioder mens de eksfiltrerer data.
APT-aktører er ofte statsstøttet, med støtte fra nasjonalstater eller andre store organisasjoner som har betydelige ressurser til å støtte deres cyberoperasjoner. Imidlertid kan de også være økonomisk motiverte, og jobber på vegne av kriminelle organisasjoner som søker å stjele verdifull data for profitt.
Forsvar mot APT-angrep krever en mangefasettert tilnærming som inkluderer avanserte trusseldeteksjons- og responsfunksjoner, sterke sikkerhetshygieniske praksiser og kontinuerlig overvåking av nettverksaktivitet for tegn på mistenkelig oppførsel.
