Szkodliwe oprogramowanie typu backdoor używane przeciwko ukraińskim podmiotom obronnym

Zidentyfikowano nowego backdoora opartego na platformie .NET, nazwanego DeliveryCheck (znanego również jako CAPIBAR lub GAMEDAY), którego celem jest w szczególności sektor obronny na Ukrainie iw Europie Wschodniej. Ten wyrafinowany backdoor ma możliwość dostarczania kolejnych ładunków.

Ataki zostały przypisane rosyjskiemu aktorowi z państwa narodowego o imieniu Turla, który występuje pod różnymi nazwami, takimi jak Iron Hunter, Secret Blizzard (dawniej Krypton), Uroburos, Venomous Bear i Waterbug. Wiadomo, że Turla jest powiązana z rosyjską Federalną Służbą Bezpieczeństwa (FSB). Wektor ataku obejmuje dystrybucję DeliveryCheck za pośrednictwem poczty elektronicznej z wykorzystaniem dokumentów zawierających złośliwe makra. Po infiltracji DeliveryCheck kontynuuje zaplanowane zadanie, które pobiera je i wykonuje w pamięci. Ponadto komunikuje się z serwerem dowodzenia i kontroli (C2) w celu pobierania zadań, w tym uruchamiania dowolnych ładunków osadzonych w arkuszach stylów XSLT.

Początkowy atak używa implantu Kazuar

W niektórych przypadkach początkowemu dostępowi towarzyszy dystrybucja znanego implantu Turla, znanego jako Kazuar. Ten implant jest dobrze przygotowany do kradzieży plików konfiguracyjnych aplikacji, dzienników zdarzeń i różnych danych z przeglądarek internetowych. Głównym celem tych ataków jest eksfiltracja wiadomości z aplikacji do przesyłania wiadomości Signal w systemie Windows, umożliwiając przeciwnikom dostęp do poufnych rozmów, dokumentów i obrazów w atakowanych systemach.

Istotnym aspektem DeliveryCheck jest możliwość włamania się do serwerów Microsoft Exchange poprzez zainstalowanie komponentu po stronie serwera przy użyciu PowerShell Desired State Configuration (DSC), platformy, która ułatwia automatyczną konfigurację systemów Windows. Dzięki temu DSC może wygenerować plik Managed Object Format (MOF) zawierający skrypt PowerShell, który ładuje osadzony ładunek .NET do pamięci, skutecznie przekształcając legalny serwer w złośliwe centrum C2.

Ukraina likwiduje farmę botów propagandowych

Równolegle ukraińska cyberpolicja z powodzeniem zlikwidowała zakrojoną na szeroką skalę farmę botów, w której ponad 100 osób zaangażowało się w szerzenie wrogiej propagandy uzasadniającej rosyjską inwazję. Grupa była również zaangażowana w ujawnianie danych osobowych obywateli Ukrainy i realizację różnych oszustw. W ramach tej operacji przeprowadzono przeszukania w 21 lokalizacjach, w wyniku których skonfiskowano sprzęt komputerowy, telefony komórkowe, ponad 250 bramek GSM oraz około 150 000 kart SIM należących do różnych operatorów telefonii komórkowej.