Cyberbezpieczeństwo

Cyberprzestępcy z grupy Gamaredon atakują. Celem ukraińskie agencje rządowe

Hakerzy celują w ukraińskich użytkowników
Hakerzy celują w ukraińskich użytkowników
Fot. Warren Wong/ Unsplash/ Domena publiczna

Trwa nowa kampania, za którą ma stać grupa Gamaredon, powiązana z Rosją. Infekuje ona ukraińskich użytkowników złośliwym oprogramowaniem, wykradającym informacje - wskazują analitycy Cisco Talos.

Zdaniem ekspertów, można zauważyć wzmożoną aktywność grupy Gamaredon, skierowaną przeciwko użytkownikom w Ukrainie . Przestępcy działają z wykorzystaniem złośliwych plików LNK, które są rozsyłane w archiwach RAR.

Kampania jest częścią trwającej operacji szpiegowskiej, obserwowanej od sierpnia 2022 roku. Ma ona na celu dostarczenie złośliwego oprogramowania, które wykrada informacje do zlokalizowanych na terenie Ukrainy maszyn-ofiar przy intensywnym wykorzystaniu skryptów PowerShell i VBScript (VBS) jako części „łańcucha infekcji”. Infostealer to złośliwe oprogramowanie o podwójnym przeznaczeniu. Daje możliwość eksfiltracji określonych typów plików i wdrażania dodatkowych payloadów na zainfekowanych urządzeniach końcowych.

Czytaj też

Jak działają cyberprzestępcy?

Cyberprzestępcy wykorzystują wiadomości phishingowe do dostarczenia dokumentów Microsoft Office, które zawierają zdalne szablony ze złośliwymi makrami VBScript. Makra te pobierają i otwierają archiwa RAR i zawierają pliki LNK, które następnie pobierają i aktywują kolejny etap payloadu na zainfekowanym urządzeniu.

Eksperci Cisco Talos zaobserwowali znaczne podobieństwo między taktykami, technikami i procedurami (TTP), artefaktami malware oraz infrastrukturą wykorzystaną w tej kampanii a tymi, które zostały wykorzystane w serii ataków, które ukraiński Zespół Reagowania na Incydenty Komputerowe (CERT-UA) przypisał niedawno grupie Gamaredon.

"Natrafiliśmy również na próby włamań do kilku ukraińskich instytucji. W oparciu o te obserwacje oraz historię operacyjną Gamaredona, w czasie której niemal wyłącznie celował w Ukrainę, oceniamy, że najnowsza kampania jest niemal na pewno bezpośrednio skierowana w podmioty mające siedzibę w Ukrainie" – komentuje Nick Biasini z Cisco Talos.

Czytaj też

/Na podst. informacji prasowej

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także