Російські хакери спрямували новий вірус проти українських військових

Фото: freepik.com

Хакери, які працюють на російську ФСБ, здійснили кілька кібератак, використовуючи шкідливе програмне забезпечення на базі USB, для викрадення великих обсягів даних з українських військових об’єктів.

Джерело: ArsTechnica

Російські хакери спрямували новий вірус проти українських військових

Зловмисну кампанію виявили дослідники з компанії Symantec, яка зараз належить Broadcom. Повідомляється, що сектори та характер організацій і комп’ютерів, на які були спрямовані атаки, могли надати зловмисникам доступ до значних обсягів конфіденційної інформації. У деяких організаціях були ознаки того, що зловмисники працювали на комп’ютерах відділів кадрів – це натякає на те, що для хакерів пріоритетною була інформація про працівників та особовий склад ЗСУ.

Групу, яку Symantec відстежує як Shuckworm, інші дослідники називають Gamaredon або Armageddon. Вона діє з 2014 року, пов’язана з ФСБ Росії та зосереджується виключно на отриманні розвідувальної інформації про українські об’єкти. У 2020 році дослідники охоронної компанії SentinelOne заявили, що ці хакери “атакували понад 5 000 окремих організацій по всій Україні, приділяючи особливу увагу районам, де дислокуються українські війська”.
У лютому Shuckworm почали розгортати нове шкідливе програмне забезпечення та командно-контрольну інфраструктуру, яка успішно проникла в систему захисту багатьох українських організацій у військовій сфері, службах безпеки та уряді, стверджує Symantec.

У цій кампанії дебютувало нове шкідливе програмне забезпечення у вигляді скрипту PowerShell, який поширює Pterodo, бекдор, створений Shuckworm. Скрипт активується, коли заражені USB-накопичувачі підключаються до комп’ютерів-мішеней. Шкідливий скрипт спочатку копіює себе на комп’ютер-жертву і створює файл швидкого доступу з розширенням rtf.lnk. Файли мають такі імена, як video_porn.rtf.lnk, do_not_delete.rtf.lnk і evidence.rtf.lnk. Назви, як пише джерело, є спробою спонукати жертв відкрити ці файли, щоб вони встановили Pterodo на комп’ютери.

Далі скрипт перераховує всі диски, підключені до комп’ютера-мішені, і копіює себе на всі підключені знімні диски, найімовірніше, в надії заразити будь-які пристрої, навмисно не підключені до інтернету, щоб запобігти їхньому злому.

Щоб замести сліди, Shuckworm створили десятки варіантів і швидко змінили IP-адреси та інфраструктуру, яку використовує для командування й контролю. Угруповання також використовує легальні сервіси, такі як Telegram і платформу мікроблогів Telegraph, для командування і контролю, щоб уникнути викриття.

Що відомо про Shuckworm

Shuckworm зазвичай використовує фішингові електронні листи як початковий вектор проникнення на комп’ютери жертв. Листи містять шкідливі вкладення, які маскуються під файли з розширеннями .docx, .rar, .sfx, lnk і hta. У листах часто використовуються такі теми, як збройні конфлікти, кримінальні провадження, боротьба зі злочинністю та захист дітей, як приманки, щоб змусити жертву відкрити лист і натиснути на вкладені файли.

Shuckworm також продовжує оновлювати методи маскування, намагаючись уникнути виявлення: із січня по квітень 2023 року щомісяця з’являлося до 25 нових варіантів скриптів цієї групи.

Источник

No votes yet.
Please wait...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *