Οι ερευνητές της Cyble Research and Intelligence Labs (CRIL) ανακάλυψαν ότι η ομάδα UAC-0184, ππου συνδέεται με τη Ρωσία, στοχεύει την Ουκρανία με το trojan απομακρυσμένης πρόσβασης XWorm (RAT) μέσω της χρήσης αρχείων που σχετίζονται με την Python.
Δείτε επίσης: Οι hackers Boolka διανέμουν το νέο BMANAGER malware
Η καμπάνια ξεκινά με ένα κακόβουλο αρχείο συντόμευσης LNK, μεταμφιεσμένο ως νόμιμο έγγραφο του Excel, το οποίο εκτελεί ένα σενάριο PowerShell. Το σενάριο πραγματοποιεί λήψη δύο αρχείων, “pkg.zip” και “NewCopy.xlsx“, από μια καθορισμένη διεύθυνση URL. Στη συνέχεια, το αρχείο συντόμευσης LNK εκτελεί το “pythonw.exe” χρησιμοποιώντας την εντολή start, η οποία αντιγράφει αρχεία και τα αποθηκεύει σε νέο φάκελο. Το “pythonw.exe” φορτώνει ένα κακόβουλο DLL, το “python310.dll“, μέσω πλευρικής φόρτωσης DLL, εισάγοντας κώδικα κελύφους στη διαδικασία MSBuild.
Οι hackers χρησιμοποιούν μια τεχνική που ονομάζεται πλευρική φόρτωση DLL, όπου ένα κακόβουλο αρχείο βιβλιοθήκης μεταμφιέζεται ως νόμιμο. Αυτό επιτρέπει στους εισβολείς να εκτελούν τον κώδικά τους υπό το πρόσχημα ενός αξιόπιστου λογισμικού. Επιπλέον, χρησιμοποιούν ένα εργαλείο που ονομάζεται Shadowloader για να εισάγει το XWorm RAT σε μια διαδικασία που εκτελείται, αποκρύπτοντας περαιτέρω την παρουσία του.
Στη συνέχεια εκτελείται το XWorm RAT, προσφέροντας μια σειρά δυνατοτήτων, όπως κλοπή δεδομένων, επιθέσεις DDoS και χειραγώγηση διευθύνσεων κρυπτονομισμάτων. Το κακόβουλο λογισμικό επιχειρεί να συνδεθεί σε διακομιστή Command-and-Control (C&C), αλλά τη στιγμή της ανάλυσης, ο διακομιστής ήταν ανενεργός, με αποτέλεσμα να μην παρατηρηθούν κακόβουλες δραστηριότητες.
Δείτε ακόμα: Κινέζοι hackers διανέμουν τα SpiceRAT και SugarGh0st malware
Ενώ ο αρχικός φορέας μόλυνσης παραμένει ασαφής, οι ερευνητές υποπτεύονται ότι τα phishing emails μπορεί να διαδραματίσουν κάποιο ρόλο. Οι ερευνητές της CRIL είχαν παρατηρήσει προηγουμένως την ομάδα UAC-0184 να χρησιμοποιεί θέλγητρα προσαρμοσμένα στους ουκρανικούς στόχους, συχνά μιμούμενοι επίσημες κυβερνητικές ή κοινωφελείς επικοινωνίες.
Προστασία από το XWorm RAT
Το κακόβουλο λογισμικό XWorm RAT που χρησιμοποιείται στην καμπάνια έχει σχεδιαστεί για να είναι εύκολα προσβάσιμο ακόμη και σε κακόβουλους παράγοντες που δεν διαθέτουν πολυπλοκότητα και τεχνική εξειδίκευση. Το ευέλικτο κακόβουλο λογισμικό προσφέρει πολλές λειτουργίες, όπως κλοπή δεδομένων, επιθέσεις DDoS, χειρισμό διευθύνσεων κρυπτονομισμάτων, ανάπτυξη ransomware και λήψη πρόσθετου κακόβουλου λογισμικού σε παραβιασμένα συστήματα. Οι ερευνητές της Cyble έχουν προτείνει διάφορα μέτρα για την άμυνα έναντι αυτής της εκστρατείας:
- Εφαρμόστε ισχυρό φιλτράρισμα email για να αποκλείσετε κακόβουλα συνημμένα.
- Να είστε προσεκτικοί με τα συνημμένα των email, ειδικά από άγνωστους αποστολείς.
- Περιορίστε την εκτέλεση γλωσσών δέσμης ενεργειών όπου είναι δυνατόν.
- Χρησιμοποιήστε τη λίστα επιτρεπόμενων εφαρμογών για να ελέγξετε ποια προγράμματα μπορούν να εκτελεστούν.
- Αναπτύξτε ισχυρές λύσεις προστασίας από ιούς και κακόβουλο λογισμικό.
- Επιβολή ισχυρών, μοναδικών κωδικών πρόσβασης και ελέγχου ταυτότητας δύο παραγόντων.
- Παρακολούθηση δικτύων για ασυνήθιστη δραστηριότητα ή προσπάθειες διείσδυσης δεδομένων.
Δείτε επίσης: Το Evasive SquidLoader Malware στοχεύει κινέζικους οργανισμούς
Το Remote Access Trojan (RAT), όπως το XWorm RAT, είναι ένας τύπος κακόβουλου λογισμικού που επιτρέπει σε έναν hacker να αναλάβει τον έλεγχο ενός υπολογιστή ή ενός δικτύου από απόσταση. Μόλις εγκατασταθεί, ένα RAT μπορεί να λειτουργήσει κρυφά, επιτρέποντας στον εισβολέα να έχει πρόσβαση σε ευαίσθητες πληροφορίες, να εγκαταστήσει πρόσθετο κακόβουλο λογισμικό ή να χειριστεί τις ρυθμίσεις του συστήματος. Οι συνήθεις μέθοδοι διανομής περιλαμβάνουν μηνύματα ηλεκτρονικού ψαρέματος, κακόβουλους ιστότοπους και λήψεις μολυσμένου λογισμικού. Η ύπουλη φύση των RAT τα καθιστά σημαντική απειλή για την ασφάλεια στον κυβερνοχώρο, καθώς συχνά δεν εντοπίζονται από τα τυπικά μέτρα ασφαλείας. Οι τακτικές ενημερώσεις λογισμικού, τα ισχυρά προγράμματα προστασίας από ιούς και η προσεκτική διαδικτυακή συμπεριφορά είναι απαραίτητα για την προστασία από μολύνσεις από RAT.
Πηγή: thecyberexpress
 μέσω της χρήσης αρχείων Python.){kind=link}