Backdoor-malware gebruikt tegen Oekraïense defensie-entiteiten
Er is een nieuwe op .NET gebaseerde achterdeur geïdentificeerd, genaamd DeliveryCheck (ook bekend als CAPIBAR of GAMEDAY), specifiek gericht op de defensiesector in Oekraïne en Oost-Europa. Deze geavanceerde achterdeur heeft de mogelijkheid om volgende payloads te leveren.
De aanvallen zijn toegeschreven aan een Russische natiestaatacteur genaamd Turla, die verschillende namen heeft, zoals Iron Hunter, Secret Blizzard (voorheen Krypton), Uroburos, Venomous Bear en Waterbug. Het is bekend dat Turla banden heeft met de Russische Federale Veiligheidsdienst (FSB). De aanvalsvector omvat het verspreiden van DeliveryCheck via e-mail, waarbij documenten met kwaadaardige macro's worden gebruikt. Eenmaal geïnfiltreerd, blijft DeliveryCheck bestaan via een geplande taak, die het downloadt en uitvoert in het geheugen. Bovendien communiceert het met een command-and-control (C2)-server om taken op te halen, waaronder het starten van willekeurige payloads die zijn ingebed in XSLT-stylesheets.
Eerste aanval maakt gebruik van Kazuar-implantaat
In sommige gevallen gaat de eerste toegang gepaard met de distributie van een bekend Turla-implantaat dat bekend staat als Kazuar. Dit implantaat is goed uitgerust om applicatieconfiguratiebestanden, gebeurtenislogboeken en verschillende gegevens van webbrowsers te stelen. Het belangrijkste doel van deze aanvallen is om berichten van de Signal-berichtenapp op Windows te exfiltreren, waardoor de kwaadwillenden toegang krijgen tot gevoelige gesprekken, documenten en afbeeldingen op de beoogde systemen.
Een belangrijk aspect van DeliveryCheck is de mogelijkheid om Microsoft Exchange-servers te compromitteren door een servercomponent te installeren met behulp van PowerShell Desired State Configuration (DSC), een platform dat de geautomatiseerde configuratie van Windows-systemen mogelijk maakt. Hierdoor kan DSC een MOF-bestand (Managed Object Format) genereren met een PowerShell-script dat de ingesloten .NET-payload in het geheugen laadt, waardoor een legitieme server effectief wordt omgezet in een kwaadaardig C2-centrum.
Oekraïne haalt Propaganda Bot Farm neer
Tegelijkertijd heeft de cyberpolitie van Oekraïne met succes een grootschalige botfarm ontmanteld, waarbij meer dan 100 personen betrokken waren bij het verspreiden van vijandige propaganda die de Russische invasie rechtvaardigde. De groep was ook betrokken bij het lekken van persoonlijke informatie van Oekraïense burgers en het uitvoeren van verschillende fraudeprogramma's. Als onderdeel van deze operatie werden op 21 locaties huiszoekingen uitgevoerd, resulterend in de inbeslagname van computerapparatuur, mobiele telefoons, meer dan 250 GSM-gateways en ongeveer 150.000 simkaarten van verschillende mobiele operators.