Bobik Malware kopplat till attacker i Ukraina

Bobik är namnet på en del av skadlig programvara som fungerar som en fjärråtkomsttrojan. Säkerhetsforskare har kopplat Bobik till en hotaktör känd för sina pro-ryska attityder, känd under aliaset NoName 057(16).

Enligt forskare skulle NoName 057(16)-hotaktören gå på sitt Telegram-konto och posta om sina senaste attacker vid tillfällen som sammanföll med distribuerade överbelastningsattacker (DDoS) med Bobik.

Bobik har både spionverktyg och DDoS-verktyg till sitt förfogande. Skadlig programvara kan samla in information om den komprometterade enheten, inklusive tangenttryckningsloggning. Skadlig programvara kan också användas för att starta DDoS-attacker med infekterade enheter som har lagts till i dess botnät.

Bobiks infektionskedja är associerad med en annan skadlig kod som kallas RedLine stealer. RedLine används som en droppare som hämtar Bobik, som i sin tur distribuerar sin DDoS-komponent.

Skadlig programvara har använts i attacker både mot statliga och militära enheter i Ukraina och mot enheter i länder som stödjer Ukraina. De senare inkluderar mobiloperatören Verizon och den brittiska multinationella reservdelsleverantören GKN Ltd.

Bobik har även använts i attacker mot mål i Litauen, Lettland och Polen, samt skandinaviska länder.