Tin tặc Gamaredon của Nga nhắm vào Chính phủ Ukraine bằng phần mềm độc hại đánh cắp thông tin

Tin tặc Gamaredon của Nga

Một chiến dịch gián điệp đang diễn ra do nhóm Gamaredon có liên kết với Nga điều hành đang nhắm mục tiêu vào nhân viên của các cơ quan chính phủ, quốc phòng và thực thi pháp luật bằng một đánh cắp thông tin tùy chỉnh.

Các nhà nghiên cứu của Cisco Talos là Asheer Malhotra và Guilherme Venere cho biết trong một bài viết kỹ thuật được chia sẻ với The Hacker News: “Kẻ thù đang sử dụng các tài liệu có chứa những chiêu dụ liên quan đến cuộc xâm lược của Nga vào Ukraine”. “Các tệp LNK, PowerShell và VBScript cho phép truy cập ban đầu, trong khi các tệp nhị phân độc hại được triển khai trong giai đoạn sau lây nhiễm.”

Hoạt động từ năm 2013, Gamaredon – còn được gọi là Actinium, Armageddon, Primitive Bear, Shuckworm và Trident Ursa – có liên quan đến nhiều cuộc tấn công nhằm vào các thực thể Ukraine sau cuộc xâm lược quân sự của Nga vào Ukraine vào cuối tháng 2 năm 2022.

Hoạt động lừa đảo có mục tiêu, được quan sát gần đây vào tháng 8 năm 2022, cũng diễn ra sau các vụ xâm nhập tương tự được Symantec phát hiện vào tháng trước liên quan đến việc sử dụng phần mềm độc hại như Giddome và Pterodo. Mục tiêu chính của các cuộc tấn công này là thiết lập quyền truy cập lâu dài cho hoạt động gián điệp và đánh cắp dữ liệu.

Xem tiếp:   Tin tặc Backdoor Máy chủ cơ sở dữ liệu Microsoft SQL chưa được vá bằng Cobalt Strike

Nó đòi hỏi phải tận dụng các tài liệu Microsoft Word giả mạo có chứa các chiêu dụ liên quan đến cuộc xâm lược Ukraine của Nga được phân phối qua email để lây nhiễm các mục tiêu. Khi được mở, các macro ẩn trong các mẫu từ xa được thực thi để truy xuất RAR chứa các tệp LNK.

Tin tặc Gamaredon của Nga

Các tệp LNK dường như tham chiếu đến các cuộc họp tình báo liên quan đến cuộc xâm lược của Nga vào Ukraine để lừa những nạn nhân không nghi ngờ mở các phím tắt, dẫn đến việc thực thi tập lệnh báo hiệu PowerShell cuối cùng mở đường cho các tải trọng ở giai đoạn tiếp theo.

Điều này bao gồm một tập lệnh PowerShell khác được sử dụng để cung cấp quyền truy cập liên tục vào hệ thống bị xâm phạm và cung cấp phần mềm độc hại bổ sung, bao gồm một phần mềm độc hại mới có khả năng cướp các tệp (.doc, .docx, .xls, .rtf, .odt, .txt, .jpg,. jpeg, .pdf, .ps1, .rar, .zip, .7z và .mdb) từ máy tính cũng như bất kỳ ổ đĩa di động nào được kết nối với nó.

Các nhà nghiên cứu cho biết: “Infostealer là một phần mềm độc hại có mục đích kép bao gồm các khả năng lấy cắp các loại tệp cụ thể và triển khai các tải trọng nhị phân và tập lệnh bổ sung trên một điểm cuối bị nhiễm”, các nhà nghiên cứu cho biết thêm, nó có thể là một thành phần của họ cửa hậu Giddome.

Xem tiếp:   Các nhà nghiên cứu Kết nối phần mềm Ransomware BlackCat với Hoạt động phần mềm độc hại BlackMatter trong quá khứ

Phát hiện được đưa ra vào thời điểm các cuộc tấn công mạng tiếp tục là một phần quan trọng của chiến lược chiến tranh hỗn hợp hiện đại trong bối cảnh xung đột giữa Nga và Ukraine. Đầu tháng này, Nhóm phân tích mối đe dọa của Google (TAG) đã tiết lộ có tới 5 chiến dịch khác nhau được thực hiện bởi một nhóm có liên kết đến băng nhóm tội phạm mạng Conti.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …