Hacker καταχρώνται το SyncThing για να κλέψουν δεδομένα

Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) αναφέρει μια νέα εκστρατεία με την ονομασία “SickSync“, που εκμεταλλεύεται το λογισμικό SyncThing για επιθέσεις κατά των ουκρανικών αμυντικών δυνάμεων.

Δείτε επίσης: Το νέο Fog ransomware στοχεύει εκπαιδευτικούς οργανισμούς

Η ομάδα συνδέεται με την περιοχή της Λαϊκής Δημοκρατίας του Λουχάνσκ (LPR), την οποία η Ρωσία έχει καταλάβει σχεδόν στο σύνολό της από τον Οκτώβριο του 2022. Οι δραστηριότητες των hacker συνήθως ευθυγραμμίζονται με τα συμφέροντα της Ρωσίας.

Η επίθεση χρησιμοποιεί το νόμιμο λογισμικό συγχρονισμού αρχείων SyncThing σε συνδυασμό με το κακόβουλο λογισμικό SPECTR. Το προφανές κίνητρο της ομάδας Vermin είναι να κλέψει ευαίσθητες πληροφορίες από στρατιωτικούς οργανισμούς.

Λεπτομέρειες επίθεσης

Η επίθεση ξεκινά με ένα email phishing που αποστέλλεται στον στόχο, το οποίο φέρει ένα αρχείο RARSFX που προστατεύεται με κωδικό πρόσβασης με το όνομα “turrel.fop.wolf.rar“.

Κατά την εκκίνηση του αρχείου, εξάγει ένα PDF (“Wowchok.pdf”), ένα πρόγραμμα εγκατάστασης (“sync.exe”) και ένα σενάριο BAT (“run_user.bat”). Το BAT εκτελεί το sync.exe, το οποίο περιέχει κακόβουλο λογισμικό SyncThing και SPECTR, μαζί με τις απαιτούμενες βιβλιοθήκες.

Το SyncThing δημιουργεί μια peer-to-peer σύνδεση για συγχρονισμό δεδομένων, η οποία χρησιμοποιείται για την κλοπή εγγράφων και κωδικών πρόσβασης λογαριασμού. Το νόμιμο εργαλείο τροποποιείται με νέα ονόματα καταλόγου και προγραμματισμένες εργασίες για την αποφυγή αναγνώρισης, ενώ το στοιχείο που εμφανίζει ένα παράθυρο όταν είναι ενεργό έχει αφαιρεθεί.

Δείτε ακόμα: Hackers καταχρώνται νόμιμα packer software για διανομή malware

Το SPECTR είναι ένα αρθρωτό κακόβουλο λογισμικό που έχει τις ακόλουθες δυνατότητες:

• SpecMon: Χρησιμοποιεί το PluginLoader.dll για να εκτελέσει αρχεία DLL που περιέχουν την κλάση “IPlugin“.
• Screengrabber: Τραβάει στιγμιότυπα οθόνης κάθε 10 δευτερόλεπτα όταν εντοπίζονται συγκεκριμένα παράθυρα προγράμματος.
• FileGrabber: Χρησιμοποιεί το robocopy.exe για την αντιγραφή αρχείων από καταλόγους χρηστών όπως Desktop, MyPictures, Downloads, OneDrive και DropBox.
• Usb: Αντιγράφει αρχεία από αφαιρούμενα μέσα USB.
• Social: Κλέβει δεδομένα ελέγχου ταυτότητας από διάφορες εφαρμογές όπως Telegram, Signal, Skype και Element.
• Προγράμματα περιήγησης: Κλέβει δεδομένα από προγράμματα περιήγησης, συμπεριλαμβανομένων των Firefox, Edge και Chrome, εστιάζοντας σε δεδομένα ελέγχου ταυτότητας, πληροφορίες περιόδου σύνδεσης και ιστορικό περιήγησης.

Τα δεδομένα που έχουν κλαπεί από το SPECTR μέσω του λογισμικού SyncThing αντιγράφονται σε υποφακέλους στον κατάλογο ‘%APPDATA%\sync\Serve_Sync\‘ και στη συνέχεια μεταφέρονται μέσω συγχρονισμού στο σύστημα του παράγοντα απειλής.

Η CERT-UA πιστεύει ότι η Vermin αποφάσισε να χρησιμοποιήσει ένα νόμιμο εργαλείο για την εξαγωγή δεδομένων, για να μειώσει την πιθανότητα τα συστήματα ασφαλείας να επισημαίνουν την κίνηση του δικτύου ως ύποπτη.

Δείτε επίσης: Malware μπορεί να κλέψει δεδομένα που συλλέγονται από το Windows Recall

Το κακόβουλο λογισμικό, όπως αυτό που εκμεταλλεύεται το SyncThing, περιλαμβάνει μια ποικιλία επιβλαβών προγραμμάτων που έχουν σχεδιαστεί για να διεισδύουν, να βλάπτουν ή να απενεργοποιούν υπολογιστές και δίκτυα. Οι συνήθεις τύποι περιλαμβάνουν ιούς, οι οποίοι προσκολλώνται σε νόμιμα αρχεία και εξαπλώνονται μέσω αυτών. Worms, τα οποία αναπαράγονται χωρίς παρέμβαση του χρήστη. Trojans, που μεταμφιέζονται ως αβλαβές λογισμικό και ransomware, το οποίο κλειδώνει τους χρήστες έξω από τα συστήματά τους έως ότου πληρωθούν τα λύτρα. Οι επιπτώσεις του κακόβουλου λογισμικού κυμαίνονται από κλοπή δεδομένων και οικονομική απώλεια έως σοβαρές διακοπές σε προσωπικά και επαγγελματικά περιβάλλοντα. Καθώς οι απειλές στον κυβερνοχώρο εξελίσσονται, η κατανόηση και η εφαρμογή ισχυρών μέτρων κυβερνοασφάλειας γίνεται όλο και πιο σημαντική για την προστασία από αυτούς τους διάχυτους κινδύνους.

Πηγή: bleepingcomputer