Backdoor Malware som används mot ukrainska försvarsenheter

En ny .NET-baserad bakdörr, som heter DeliveryCheck (även känd som CAPIBAR eller GAMEDAY), har identifierats, specifikt inriktad på försvarssektorn i Ukraina och Östeuropa. Denna sofistikerade bakdörr har förmågan att leverera efterföljande nyttolaster.

Attackerna har tillskrivits en rysk nationalstatsaktör vid namn Turla, som går under olika namn som Iron Hunter, Secret Blizzard (tidigare Krypton), Uroburos, Venomous Bear och Waterbug. Turla är känt för att vara kopplad till Rysslands federala säkerhetstjänst (FSB). Attackvektorn innebär att DeliveryCheck distribueras via e-post, med hjälp av dokument som innehåller skadliga makron. När den väl har infiltrerats fortsätter DeliveryCheck genom en schemalagd uppgift, som laddar ner och kör den i minnet. Dessutom kommunicerar den med en kommando-och-kontroll-server (C2) för att hämta uppgifter, inklusive lansering av godtyckliga nyttolaster inbäddade i XSLT-formatmallar.

Initial attack använder Kazuar-implantat

I vissa fall åtföljs den första åtkomsten av distributionen av ett känt Turla-implantat känt som Kazuar. Detta implantat är välutrustat för att stjäla programkonfigurationsfiler, händelseloggar och olika data från webbläsare. Huvudsyftet med dessa attacker är att exfiltrera meddelanden från Signal-meddelandeappen på Windows, vilket gör det möjligt för motståndarna att komma åt känsliga konversationer, dokument och bilder på de riktade systemen.

En viktig aspekt av DeliveryCheck är dess förmåga att äventyra Microsoft Exchange-servrar genom att installera en komponent på serversidan med PowerShell Desired State Configuration (DSC), en plattform som underlättar den automatiska konfigurationen av Windows-system. Detta gör att DSC kan generera en MOF-fil (Managed Object Format) som innehåller ett PowerShell-skript som laddar den inbäddade .NET-nyttolasten till minnet, vilket effektivt omvandlar en legitim server till ett skadligt C2-center.

Ukraina tar ner propagandabotfarm

Parallellt lyckades Cyberpolisen i Ukraina demontera en storskalig botfarm, vilket involverade mer än 100 individer som var engagerade i att sprida fientlig propaganda som rättfärdigar den ryska invasionen. Gruppen var också inblandad i att läcka personlig information som tillhörde ukrainska medborgare och att utföra olika bedrägerier. Som en del av denna operation genomfördes sökningar på 21 platser, vilket resulterade i beslag av datorutrustning, mobiltelefoner, över 250 GSM-gateways och cirka 150 000 SIM-kort som tillhör olika mobiloperatörer.