RoarBAT Malware upptäckt av ukrainska CERT
Computer Emergency Response Team of Ukraine (CERT-UA) har rapporterat en pågående nätfiskekampanj som använder beten med fakturatema för att sprida SmokeLoader skadlig programvara. E-postmeddelandena skickas från komprometterade konton och innehåller ett ZIP-arkiv som egentligen är en polyglotfil med ett lockbetedokument och en JavaScript-fil. Den här filen används för att köra SmokeLoader skadlig programvara, vars mål är att ladda ner mer effektiv skadlig programvara på infekterade system. CERT-UA har tillskrivit denna aktivitet UAC-0006, en ekonomiskt motiverad hotaktör som försöker stjäla referenser och överföra pengar utan tillstånd.
Dessutom har Ukrainas cybersäkerhetsmyndighet avslöjat en destruktiv attack mot offentliga organisationer utförd av UAC-0165, en grupp som CERT-UA måttligt har tillskrivit Sandworm-gruppen. Attacken involverade en batchskriptbaserad torkarprogramvara kallad RoarBAT som rekursivt sökte efter filer med specifika tillägg och raderade dem med det legitima WinRAR-verktyget. Gruppen äventyrade Linux-system med ett bash-skript som skrev över filer med noll byte för att undvika upptäckt.
Attacken underlättades av bristen på MFA när man gjorde fjärranslutningar till VPN. Den destruktiva effekten av attacken orsakade nedsättningar av elektroniska datorer, serverutrustning, automatiserade användararbetsplatser och datalagringssystem.
Vad är avancerade persistent hot-aktörer?
APT-aktörer (Advanced Persistent Threat) är mycket skickliga och motiverade cyberangripare som genomför långsiktiga, riktade cyberspionagekampanjer mot specifika mål som statliga myndigheter, kritisk infrastruktur eller stora företag. Dessa angripare använder sofistikerade tekniker för att få obehörig åtkomst till känslig information och system, med målet att stjäla värdefull immateriell egendom, hemligstämplad information eller finansiell data.
APT:er använder vanligtvis en kombination av taktik, såsom spear-phishing, social ingenjörskonst, skadlig programvara och fjärråtkomstverktyg för att få tillgång till riktade system. När de väl får åtkomst kan APT-aktörer etablera ett fotfäste i nätverket, röra sig i sidled inom målmiljön och förbli oupptäckta under långa tidsperioder medan de exfiltrerar data.
APT-aktörer är ofta statligt sponsrade, med stöd av nationalstater eller andra stora organisationer som har betydande resurser för att stödja sin cyberverksamhet. Men de kan också vara ekonomiskt motiverade och arbeta på uppdrag av kriminella organisationer som försöker stjäla värdefull data i vinstsyfte.
Att försvara sig mot APT-attacker kräver ett mångfacetterat tillvägagångssätt som inkluderar avancerade hotdetektions- och svarsmöjligheter, starka säkerhetshygieniska rutiner och kontinuerlig övervakning av nätverksaktivitet för tecken på misstänkt beteende.
