Hakerzy powiązani z GRU z nową „cyberbronią”. Celem ponownie Ukraina?

12 czerwca 2020, 11:42
AxWmVGsewx8L9HAXJBhuSyX0Vp9weFAs
Fot. en.kremlin.ru

Grupa hakerska powiązana z rosyjskimi służbami specjalnymi opracowała nowe narzędzie, które zaprojektowano specjalnie do cyberataków wymierzonych w oprogramowanie Microsoft Outlook. „Narzędzia używane przez Gamaredon są bardzo proste i mają na celu zbieranie poufnych informacji” – wskazują eksperci firmy ESET.

Specjaliści ESET odkryli nowe narzędzia wykorzystywane przez grupę hakerską Gamaredon, które były wykorzystywane podczas różnych kampanii. Jedno z nich opracowane specjalnie do cyberataków na Microsoft Outlook, używa konta e-mail celu do wysyłania wiadomości spearphishingowych do kontaktów znajdujących się w książce adresowej ofiary. „Przeanalizowaliśmy również inne narzędzia Gamaredon, które mają możliwość >wstrzykiwania< złośliwych makr i zdalnych szablonów do istniejących dokumentów pakietu Office” – czytamy na oficjalnej stronie ESET.

Grupa działa od co najmniej 2013 roku. Była odpowiedzialna za szereg cyberataków, głównie przeciwko ukraińskim celom. Jej hakerzy zostali powiązani z ukraińską grupą separatystyczną, będącą pod kontrolą rosyjskich służb wywiadu wojskowego.

W ciągu ostatnich kilku miesięcy aktywność Gamaredon wzrosła, a fale złośliwych e-maili docierały do ​​kolejnych skrzynek pocztowych licznych celów. Załączniki zamieszczone w wiadomościach zawierały złośliwe makra, które po uruchomieniu próbowały pobrać wiele różnych wariantów złośliwego oprogramowania.

„Narzędzia używane przez Gamaredon są bardzo proste i mają na celu zbieranie poufnych informacji z zainfekowanych systemów i dalsze rozprzestrzenianie się złośliwego oprogramowania” – wskazują specjaliści ESET. Dodają, że głównym zamiarem grupy jest „rozprzestrzenianie się tak daleko i szybko w sieci, jak to tylko możliwe”.

Jak tłumaczą eksperci, hakerzy korzystają z pakietu zawierającego niestandardowy projekt Microsoft Outlook Visual Basic for Applications (VBA). Zdaniem specjalistów używanie makr programu Outlook do dostarczania złośliwego oprogramowania jest rzadkością podczas prowadzenia złośliwych kampanii.

Narzędzie hakerskie pozwala grupie uzyskać dostęp do listy adresowej. Posiadając do niej dostęp, cyberprzestępcy mogą rozsyłać zainfekowane maile na trzy różne sposoby: do wszystkich użytkowników znajdujących się w książce adresowej ofiary, do wszystkich w ramach jednej organizacji, do wybranej listy kontaktów.

„Chociaż nadużywanie zainfekowanej skrzynki pocztowej w celu wysyłania złośliwych wiadomości e-mail bez zgody ofiary nie jest nową techniką, uważamy, że jest to pierwszy publicznie udokumentowany przypadek grupy ataku wykorzystującej do tego celu makro programu Outlook” – podkreślają specjaliści ESET.

Eksperci wyjaśniają, że kod VBA buduje treść wiadomości e-mail i dołącza do niej złośliwy dokument. Analiza wykazała, że pliki .docx i .lnk używane są jako załączniki. „Są one bardzo podobne do treści złośliwych załączników używanych w początkowych kampaniach spearphishingowych Gamaredona” – precyzują specjaliści. Treść wiadomości e-mail zawiera zarówno tekst w języku angielskim, jak i rosyjskim.

Grupa Gamaredon korzysta z wielu różnych domen, zarówno darmowych, jak i płatnych, dla swoich serwerów. Do pierwszej grupy zalicza się głównie DDNS od No-IP: hopto.org, ddns.net, myftp.biz, podczas gdy domeny płatne są rejestrowane za pośrednictwem rejestratora REG.RU i obejmują domeny .fun, .site, .space, .ru, .website i .xyz TLD.

KomentarzeLiczba komentarzy: 3
yaro
sobota, 13 czerwca 2020, 09:46

eeeee tam takie rewelacje, to jest znacznie ciekawsze "Zastępca Rady Miasta Tarnopola z partii Solidarności Petra Poroszenki Taras Bilan opublikował apel na Facebooku do Żeleńskiego, w którym zaproponował zdetonowanie bomb nuklearnych w Budapeszcie, Moskwie i Petersburgu w celu "obrony przed atakami Węgier i Rosji". Powodem apelu były plany nowego podziału administracyjnego na Zakarpaciu, gdzie utworzono dużą dzielnicę „węgierską” z centrum w Beregowie."

fifi
piątek, 12 czerwca 2020, 19:50

Nie sądzę. Dzikie Pola już się same zaorały.

Fanklub Daviena
piątek, 12 czerwca 2020, 19:43

To nie "nowa broń" fantaści, tylko stare, paroletnie dziury w oprogramowaniu Microsoftu. Kto używa amerykańskiego oprogramowania sam się doprasza o problemy. Ustawa z bodaj 1997 znosząca w USA zakaz eksportu technologii kryptograficznych z kluczem większym niż 56 bitów wymaga, by takie produkty... "miały możliwość odzyskania danych w przypadku utraty klucza przez użytkownika" jak eufemistycznie amerykański ustawodawca nazwał tylne furtki dla trzyliterowych rządowych organizacji USA, które w błazeńskim rasistowskim przekonaniu uważają, że inne nacja są tak głupie, że tych tylnych furtek montowanych przez USA nie dostrzegą i nie będą używać... :)