Rosja szpieguje ukraińskie wojsko. Nowa metoda ataku

Aktywność łączonej z Rosją grupy UAC-0184 została po raz pierwszy udokumentowana przez ukraiński zespół CERT-UA na początku stycznia 2024 roku. Od tego czasu obserwuje się systematyczne kampanie wymierzone w ukraińskie struktury państwowe, w szczególności te związane z obronnością.

Jak podaje portal cybernews.com, najnowsze analizy pokazują, że grupa zaczęła wykorzystywać Viber jako kanał początkowej kompromitacji. Zastosowanie komunikatorów zwiększa skuteczność ataków, ponieważ wiadomości pochodzące z tych platform są często postrzegane przez użytkowników jako bardziej wiarygodne niż klasyczne e-maile phishingowe.

Złośliwe oprogramowanie ukryte za zwykłymi wiadomościami

W nowo zaobserwowanych atakach ofiary otrzymują w Viberze wiadomości zawierające archiwa ZIP, które wyglądają jak paczki z rutynowymi dokumentami roboczymi. Wewnątrz tych archiwów znajduje się kilka plików skrótów systemu Windows (LNK), podszywających się pod pliki Microsoft Word lub Excel. 

Po ich otwarciu wyświetlany jest nieszkodliwy dokument „przynęta”, aby nie wzbudzić podejrzeń. Tymczasem w tle skrót uruchamia skrypt PowerShell, który pobiera zdalnie drugie archiwum o nazwie smoothieks.zip.

Złośliwe archiwum zawiera komponenty potrzebne do uruchomienia Hijack Loader, czyli programu ładującego (loadera) malware powszechnie używanego w operacjach szpiegowskich.

Zaprojektowane, by omijać narzędzia bezpieczeństwa

Hijack Loader sprawdza, jakie produkty bezpieczeństwa są zainstalowane (np. oprogramowanie firm Microsoft, Kaspersky, Avast czy Bitdefender), po czym oblicza hashe CRC32 powiązane z tymi programami, co pozwala malware dostosować zachowanie i zmniejszyć ryzyko wykrycia.

Utrzymanie trwałości realizowane jest za pomocą zaplanowanych zadań (Scheduled Tasks), a kolejne mechanizmy mają utrudnić wykrycie przez statyczne narzędzia oparte na sygnaturach. Po pozytywnej weryfikacji środowiska loader wstrzykuje Remcos RAT do legalnego procesu aplikacji (np. chime.exe).

Celem ataków jest szpiegostwo

Opisywana kampania ma charakter typowo wywiadowczy. Po skutecznej infekcji atakujący może uzyskać zdalny dostęp do komputera ofiary, co umożliwia m.in.:

• kradzież dokumentów i danych (plików, zrzutów ekranu, zawartości schowka, a niekiedy także danych z przeglądarki),
• przechwytywanie poświadczeń (loginów i haseł, tokenów sesji) i wykorzystywanie ich do logowania się „jak użytkownik",
• monitorowanie aktywności ofiary i komunikacji, 
• zdalne wykonywanie poleceń oraz instalowanie kolejnych narzędzi, 
• utrzymywanie trwałego dostępu do systemu, co umożliwia długofalowe, dyskretne rozpoznanie środowiska.

Dokładny zakres działań po infekcji zależy od tego, jakie docelowe malware zostało ostatecznie uruchomione i jaką konfigurację zastosował napastnik.

Zagrożenia dla Ukrainy

W warunkach wojny cyber-szpiegostwo przekłada się na przewagę operacyjną, a skutki takich ataków mogą obejmować:

• utratę danych operacyjnych, np. wycieki planów, rozkazów, lokalizacji, logistyki oraz wiedza o strukturach i łańcuchu dowodzenia;
• lepsze namierzanie celów, ponieważ informacje z urządzeń i „zwykłych" dokumentów pomagają ocenić zasoby, rotacje i luki, wspierając planowanie działań;
• ataki przez partnerów dzięki przejętym kontom, które ułatwiają wejście przez dostawców i kontrahentów oraz powrót do sieci instytucji;
• dezinformację z wiarygodnego źródła, np. wysyłka fałszywych poleceń, podmiana plików i manipulacja obiegiem dokumentów;
• zakłócenia działania - w skrajnych przypadkach niszczenie danych, blokady systemów i przestoje w usługach.

Aplikacja Signal również wykorzystywana przez hakerów

Nowo ujawniona kampania pokazuje, jak codzienne narzędzia komunikacji mogą być użyte w cyberataku. Wcześniej hakerzy powiązani z Rosją wykorzystywali Signala do wysyłania phishingowych wiadomości do Sił Obronnych Ukrainy oraz pracowników ukraińskiego przemysłu obronnego.

Wiadomości zawierały zainfekowane pliki umożliwiające atakującym monitorowanie aktywności użytkownika oraz kradzież wrażliwych danych.