Пов’язана з Кремлем шпигунська група «Shuckworm» повертається з черговою хакерською кампанією проти України та її західних союзників, цього разу спрямована на іноземну військову операцію, що відбувається в зруйнованій війною країні.
Про це йдеться в новому блозі, опублікованому 10 квітня командою Threat Hunter у Symantec.
Дослідники розвідки заявили, що нещодавня атака Shuckworm була вперше помічена 26 лютого, хоча російські загрозливі особи існують з 2013 року, невпинно атакуючи українські організації та інфраструктуру протягом більше десяти років від імені Федеральної служби безпеки Росії (ФСБ). Кажуть, що кампанія активно націлена на «військову місію західної країни, що базується у східноєвропейській країні», починаючи з лютого й триваючи до березня.
Shuckworm, який іноді називають Gamaredon або Armageddon, відомий тим, що «майже виключно зосереджує свою діяльність на державних, правоохоронних і оборонних організаціях в Україні», — заявили в Symantec.
Цього разу обраним інструментом для групи стала оновлена версія PowerShell інфокрадера «GammaSteel», типу шкідливого програмного забезпечення, призначеного для викрадання даних.
Вважається, що Shuckworm спочатку скомпрометував цільову систему через заражений знімний диск і файл LNK під назвою «D:\files.lnk», створивши значення реєстру Windows під ключем UserAssist.
Після запуску mishta.exe, щоб обійти контроль безпеки, а потім виконання кількох інших зловмисних команд wscript.exe, зловмисники змогли встановити контакт із сервером командування та керування (C&C). Тоді було сказано, що Shuckworm переміщується та систематично заражає всі знімні та мережеві диски, згідно з блоґом, у якому викладаються всі технічні висновки та індикатори компрометації.
Дослідницька група також виявила «масив можливих назв файлів українською мовою», але без контексту не могла сказати, для чого вони.
Багато файлів мали прізвиська військового типу, наприклад «План проведення, СПЕЦІАЛЬНА ІНСПЕКЦІЯ, Звіт про поранення, розгортання, БОЙОВИЙ НАКАЗ ППО, Рішення командира про оборону, бойовий розрахунок, підтримка ГУР та Інформація про загиблих».
Український переклад файлу Shuckworm від Symantec
1 березня команда Threat Hunter спостерігала «шквал активності на цільовому сервері», здебільшого використовуючи інструменти розвідки для отримання різних ідентифікаторів із зараженої машини, а також створення двох нових жорстко закодованих серверів C&C.
Зрештою зловмисники запускають останнє корисне навантаження – версію PowerShell відомого інструменту Shuckworm GammaSteel, кажуть експерти з безпеки, вилучаючи безліч файлів із робочого столу машини, документів і папки завантажень.
У Symantec заявили, що зловмисники використовували різні методи для передачі та вилучення, включаючи веб-сервіс write.as, а також використовували cURL (інструмент командного рядка з відкритим кодом, який часто використовують зловмисники) разом із Tor як резервний метод.
Команда зазначила, що Shuckworm використовував набагато досконаліші методи, ніж під час попередніх атак, наприклад використання більшої кількості інструментів на основі PowerShell, внесення незначних змін до коду, який він використовує, і використання законних веб-сервісів, щоб знизити ризик виявлення.
За їхніми словами, саме це робить цю конкретну кампанію більш складним, багатоетапним ланцюгом атак.
Російська шпигунська група «Shuckworm» націлена на західні військові операції в Україні
