Armia i Służby
Hakerzy powiązani z GRU z nową „cyberbronią”. Celem ponownie Ukraina?
Grupa hakerska powiązana z rosyjskimi służbami specjalnymi opracowała nowe narzędzie, które zaprojektowano specjalnie do cyberataków wymierzonych w oprogramowanie Microsoft Outlook. „Narzędzia używane przez Gamaredon są bardzo proste i mają na celu zbieranie poufnych informacji” – wskazują eksperci firmy ESET.
Specjaliści ESET odkryli nowe narzędzia wykorzystywane przez grupę hakerską Gamaredon, które były wykorzystywane podczas różnych kampanii. Jedno z nich opracowane specjalnie do cyberataków na Microsoft Outlook, używa konta e-mail celu do wysyłania wiadomości spearphishingowych do kontaktów znajdujących się w książce adresowej ofiary. „Przeanalizowaliśmy również inne narzędzia Gamaredon, które mają możliwość >wstrzykiwania< złośliwych makr i zdalnych szablonów do istniejących dokumentów pakietu Office” – czytamy na oficjalnej stronie ESET.
Grupa działa od co najmniej 2013 roku. Była odpowiedzialna za szereg cyberataków, głównie przeciwko ukraińskim celom. Jej hakerzy zostali powiązani z ukraińską grupą separatystyczną, będącą pod kontrolą rosyjskich służb wywiadu wojskowego.
W ciągu ostatnich kilku miesięcy aktywność Gamaredon wzrosła, a fale złośliwych e-maili docierały do kolejnych skrzynek pocztowych licznych celów. Załączniki zamieszczone w wiadomościach zawierały złośliwe makra, które po uruchomieniu próbowały pobrać wiele różnych wariantów złośliwego oprogramowania.
„Narzędzia używane przez Gamaredon są bardzo proste i mają na celu zbieranie poufnych informacji z zainfekowanych systemów i dalsze rozprzestrzenianie się złośliwego oprogramowania” – wskazują specjaliści ESET. Dodają, że głównym zamiarem grupy jest „rozprzestrzenianie się tak daleko i szybko w sieci, jak to tylko możliwe”.
Jak tłumaczą eksperci, hakerzy korzystają z pakietu zawierającego niestandardowy projekt Microsoft Outlook Visual Basic for Applications (VBA). Zdaniem specjalistów używanie makr programu Outlook do dostarczania złośliwego oprogramowania jest rzadkością podczas prowadzenia złośliwych kampanii.
Narzędzie hakerskie pozwala grupie uzyskać dostęp do listy adresowej. Posiadając do niej dostęp, cyberprzestępcy mogą rozsyłać zainfekowane maile na trzy różne sposoby: do wszystkich użytkowników znajdujących się w książce adresowej ofiary, do wszystkich w ramach jednej organizacji, do wybranej listy kontaktów.
„Chociaż nadużywanie zainfekowanej skrzynki pocztowej w celu wysyłania złośliwych wiadomości e-mail bez zgody ofiary nie jest nową techniką, uważamy, że jest to pierwszy publicznie udokumentowany przypadek grupy ataku wykorzystującej do tego celu makro programu Outlook” – podkreślają specjaliści ESET.
Eksperci wyjaśniają, że kod VBA buduje treść wiadomości e-mail i dołącza do niej złośliwy dokument. Analiza wykazała, że pliki .docx i .lnk używane są jako załączniki. „Są one bardzo podobne do treści złośliwych załączników używanych w początkowych kampaniach spearphishingowych Gamaredona” – precyzują specjaliści. Treść wiadomości e-mail zawiera zarówno tekst w języku angielskim, jak i rosyjskim.
Grupa Gamaredon korzysta z wielu różnych domen, zarówno darmowych, jak i płatnych, dla swoich serwerów. Do pierwszej grupy zalicza się głównie DDNS od No-IP: hopto.org, ddns.net, myftp.biz, podczas gdy domeny płatne są rejestrowane za pośrednictwem rejestratora REG.RU i obejmują domeny .fun, .site, .space, .ru, .website i .xyz TLD.
Haertle: Każdego da się zhakować
Materiał sponsorowany