Αρκετοί κρατικοί και βασικοί ρωσικοί βιομηχανικοί οργανισμοί έχουν δεχτεί επίθεση από ένα Go-based backdoor, που επιτρέπει την κλοπή δεδομένων. Πιθανότατα στόχος των επιτιθέμενων είναι η κυβερνοκατασκοπεία.
Η Kaspersky εντόπισε για πρώτη φορά την καμπάνια τον Ιούνιο του 2023, ενώ στα μέσα Αυγούστου, εντόπισε μια νεότερη έκδοση του backdoor, σχεδιασμένη ώστε να αποφεύγει καλύτερα τον εντοπισμό.
Η Kaspersky δεν έχει αποδώσει τις επιθέσεις σε συγκεκριμένη hacking ομάδα αλλά μοιράστηκε κάποιους δείκτες παραβίασης που μπορούν να βοηθήσουν τους υπερασπιστές να αποτρέψουν τις επιθέσεις.
Κακόβουλα αρχεία ARJ
Η επίθεση ξεκινά με ένα email που φέρει ένα κακόβουλο αρχείο ARJ με το όνομα “finansovyy_kontrol_2023_180529.rar” (οικονομικός έλεγχος). Είναι ένα εκτελέσιμο αρχείο Nullsoft.
Δείτε επίσης: Η ομάδα μπάσκετ ASVEL επιβεβαιώνει παραβίαση δεδομένων λόγω ransomware
Το αρχείο περιέχει ένα έγγραφο PDF που έχει στόχο να ξεγελάσει το θύμα. Μαζί βρίσκεται και ένα NSIS script που ανακτά το κύριο payload από μια εξωτερική διεύθυνση URL (fas-gov-ru[.]com) και το εκκινεί. Το malware payload θα εγκατασταθεί στο ‘C:\ProgramData\Microsoft\DeviceSync\‘ ως ‘UsrRunVGA.exe.‘
Οι ερευνητές της Kaspersky λένε ότι το ίδιο κύμα phishing διένειμε δύο ακόμη backdoors που ονομάζονται “Netrunner” και “Dmcserv“. Είναι το ίδιο κακόβουλο λογισμικό με διαφορετικά C2 (command and control) server configurations.
Το script εκκινεί τα κακόβουλα εκτελέσιμα αρχεία σε ένα κρυφό παράθυρο και προσθέτει έναν σύνδεσμο “Μενού Έναρξης” (για persistence).
Δείτε επίσης: Τον Σεπτέμβριο σημειώθηκε αύξηση 153% των επιθέσεων ransomware
Το backdoor που στοχεύει κρατικούς και βιομηχανικούς οργανισμούς στη Ρωσία μπορεί να κάνει τα εξής:
- Καταχωρεί αρχεία και φακέλους σε έναν καθορισμένο κατάλογο.
- Εξάγει αρχεία από τον κεντρικό υπολογιστή στο C2.
- Παίρνει τα περιεχόμενα του προχείρου.
- Τραβά screenshots από την επιφάνεια εργασίας.
- Κάνει αναζήτηση στο δίσκο για αρχεία με συγκεκριμένες επεκτάσεις (.doc, .docx, .pdf, .xls, .xlsx, .ppt, .pptx, .zip, .rar, .7z, .odt, .ods, .kdbx, .ovpn, .pem, .crt, .key) και τα μεταφέρει τα στο C2.
Όλα τα δεδομένα στέλνονται στον διακομιστή C2 κρυπτογραφημένα, για να γίνει πιο δύσκολος ο εντοπισμός από λύσεις παρακολούθησης δικτύου.
Για τον ίδιο λόγο (αποφυγή εντοπισμού), το κακόβουλο λογισμικό εκτελεί ελέγχους για να καθορίσει εάν εκτελείται σε virtualized environment και τερματίζει τη λειτουργία του, εάν διαπιστώσει ότι όντως εκτελείται εκεί.
Τα αποτελέσματα αυτών των ελέγχων αποστέλλονται στο C2 στην αρχική φάση της μόλυνσης για να χρησιμοποιηθούν για τη δημιουργία προφίλ θυμάτων.
Η νέα έκδοση του backdoor, που στοχεύει οργανισμούς στη Ρωσία, κλέβει passwords
Στα μέσα Αυγούστου, η Kaspersky παρατήρησε μια νέα παραλλαγή του backdoor που έφερε νέες δυνατότητες κλοπής αρχείων.
Μάλιστα, η νέα έκδοση στοχεύει κωδικούς πρόσβασης χρηστών που είναι αποθηκευμένοι σε 27 προγράμματα περιήγησης ιστού και το Thunderbird email client.
Δείτε επίσης: Κυβερνοεπίθεση διαταράσσει τις υπηρεσίες τοπικών νοσοκομείων
Τα προγράμματα περιήγησης που βρίσκονται στο στόχαστρο αυτής της πρόσφατης έκδοσης του backdoor περιλαμβάνουν τα δημοφιλή Chrome, Firefox, Edge, Opera, Brave, Vivaldi και Yandex.
Επιθέσεις κλοπής δεδομένων
Η κλοπή δεδομένων μπορεί να έχει σοβαρές επιπτώσεις στους οργανισμούς που πλήττονται και στο γενικότερο τοπίο ασφάλειας. Οι επιπτώσεις αυτές μπορούν να είναι οι εξής:
- Απώλεια εμπιστοσύνης: Η κλοπή δεδομένων μπορεί να οδηγήσει σε σοβαρή απώλεια εμπιστοσύνης από τους πελάτες και τους συνεργάτες των οργανισμών. Η αποκάλυψη ευαίσθητων πληροφοριών μπορεί να προκαλέσει ανησυχία και αμφιβολίες σχετικά με την ικανότητα της οργάνωσης να προστατεύει τα δεδομένα των πελατών της.
- Οικονομικές απώλειες: Η κλοπή δεδομένων μπορεί να οδηγήσει σε σημαντικές οικονομικές απώλειες. Οι οργανισμοί θα ξοδέψουν χρήματα για να αποκαταστήσουν τα παραβιασμένα συστήματα και να ενισχύσουν την κυβερνοασφάλεια, ενώ μπορεί να πληρώσουν και αποζημιώσεις ή πρόστιμα, λόγω της αδυναμίας να προφυλάξουν τα δεδομένα πελατών.
- Επιπτώσεις στον ανταγωνισμό: Η κλοπή δεδομένων μπορεί να έχει σοβαρές επιπτώσεις στην ανταγωνισμό. Οι αντίπαλοι μπορεί να αξιοποιήσουν τα κλεμμένα δεδομένα για να αποκτήσουν ανταγωνιστικό πλεονέκτημα, όπως την ανάπτυξη νέων προϊόντων ή την πρόσβαση σε εμπιστευτικές πληροφορίες που μπορούν να χρησιμοποιηθούν για την αποσταθεροποίηση της αγοράς.
- Επιπτώσεις στην εθνική ασφάλεια: Η κλοπή δεδομένων από κρατικές οργανώσεις μπορεί να έχει σοβαρές επιπτώσεις στην εθνική ασφάλεια. Οι επιτήδειοι μπορεί να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, όπως πολιτικές αποφάσεις, στρατηγικά σχέδια ή πληροφορίες για την υποδομή του κράτους, και να τις χρησιμοποιήσουν για να προκαλέσουν αναταραχές ή να επηρεάσουν την πολιτική σταθερότητα.
Πηγή: www.bleepingcomputer.com
