Группа реагирования на компьютерные ситуации в Украине (CERT-UA) предупредила о кибератаках на силы обороны страны с помощью вредоносного ПО под названием SPECTRE в рамках шпионской кампании, получившей название SickSync.
Агентство приписало атаки субъекту угрозы, которого оно отслеживает под псевдонимом UAC-0020, который также называется Vermin и, по оценкам, связан с органами безопасности Луганской Народной Республики (ЛНР). ЛНР была объявлена Россией суверенным государством за несколько дней до ее военного вторжения в Украину в феврале 2022 года.
Цепочки атак начинаются с фишинговых электронных писем, содержащих самораспаковывающийся архивный файл RAR, содержащий файл-приманку PDF, троянскую версию приложения SyncThing, которая включает полезную нагрузку SPECTR, и пакетный скрипт, который активирует заражение путем запуска исполняемого файла.
SPECTR выполняет функцию похитителя информации, делая снимки экрана каждые 10 секунд, собирая файлы, собирая данные со съемных USB-накопителей и крадя учетные данные из веб-браузеров и приложений, таких как Element, Signal, Skype и Telegram.
"В то же время для загрузки украденных документов, файлов, паролей и другой информации с компьютера использовалась стандартная функциональность синхронизации законного программного обеспечения SyncThing, которое, среди прочего, поддерживает установление однорангового соединения между компьютерами", - говорится в сообщении CERT-UA.
SickSync знаменует возвращение группы Vermin после длительного отсутствия, которая ранее наблюдалась за организацией фишинговых кампаний, направленных против государственных органов Украины с целью развертывания вредоносного ПО SPECTR в марте 2022 года. Известно, что SPECTR использовался актером с 2019 года.
Vermin - это также название, присвоенное троянцу удаленного доступа .NET, который использовался для атак на различные государственные учреждения Украины в течение почти восьми лет. Впервые о ней было публично сообщено подразделением Palo Alto Networks 42 в январе 2018 года, с последующим анализом от ESET, отслеживающим активность злоумышленников с октября 2015 года.
Раскрытие происходит на фоне предупреждения CERT-UA об атаках социальной инженерии, использующих приложение для обмена мгновенными сообщениями Signal в качестве средства распространения троянца удаленного доступа под названием DarkCrystal RAT (он же DCRat). Они были связаны с кластером активности под кодовым названием UAC-0200.
"В очередной раз мы отмечаем тенденцию к увеличению интенсивности кибератак с использованием мессенджеров и законных скомпрометированных учетных записей", - заявило агентство. "В то же время, так или иначе, жертве предлагается открыть файл на компьютере".
Это также следует за обнаружением вредоносной кампании, проводимой белорусскими хакерами, спонсируемыми государством, известными как GhostWriter (также известные как UAC-0057 и UNC1151), которые используют заминированные документы Microsoft Excel в атаках, направленных на Министерство обороны Украины.
"При выполнении документа Excel, который содержит встроенный макрос VBA, он удаляет LNK и файл загрузки DLL", - сообщила компания Symantec, принадлежащая Broadcom. "Впоследствии запуск файла LNK инициирует загрузчик DLL, что потенциально приводит к предполагаемой конечной полезной нагрузке, включая AgentTesla, Cobalt Strike beacons и njRAT".
Агентство приписало атаки субъекту угрозы, которого оно отслеживает под псевдонимом UAC-0020, который также называется Vermin и, по оценкам, связан с органами безопасности Луганской Народной Республики (ЛНР). ЛНР была объявлена Россией суверенным государством за несколько дней до ее военного вторжения в Украину в феврале 2022 года.
Цепочки атак начинаются с фишинговых электронных писем, содержащих самораспаковывающийся архивный файл RAR, содержащий файл-приманку PDF, троянскую версию приложения SyncThing, которая включает полезную нагрузку SPECTR, и пакетный скрипт, который активирует заражение путем запуска исполняемого файла.
SPECTR выполняет функцию похитителя информации, делая снимки экрана каждые 10 секунд, собирая файлы, собирая данные со съемных USB-накопителей и крадя учетные данные из веб-браузеров и приложений, таких как Element, Signal, Skype и Telegram.
"В то же время для загрузки украденных документов, файлов, паролей и другой информации с компьютера использовалась стандартная функциональность синхронизации законного программного обеспечения SyncThing, которое, среди прочего, поддерживает установление однорангового соединения между компьютерами", - говорится в сообщении CERT-UA.
SickSync знаменует возвращение группы Vermin после длительного отсутствия, которая ранее наблюдалась за организацией фишинговых кампаний, направленных против государственных органов Украины с целью развертывания вредоносного ПО SPECTR в марте 2022 года. Известно, что SPECTR использовался актером с 2019 года.
Vermin - это также название, присвоенное троянцу удаленного доступа .NET, который использовался для атак на различные государственные учреждения Украины в течение почти восьми лет. Впервые о ней было публично сообщено подразделением Palo Alto Networks 42 в январе 2018 года, с последующим анализом от ESET, отслеживающим активность злоумышленников с октября 2015 года.
Раскрытие происходит на фоне предупреждения CERT-UA об атаках социальной инженерии, использующих приложение для обмена мгновенными сообщениями Signal в качестве средства распространения троянца удаленного доступа под названием DarkCrystal RAT (он же DCRat). Они были связаны с кластером активности под кодовым названием UAC-0200.
"В очередной раз мы отмечаем тенденцию к увеличению интенсивности кибератак с использованием мессенджеров и законных скомпрометированных учетных записей", - заявило агентство. "В то же время, так или иначе, жертве предлагается открыть файл на компьютере".
Это также следует за обнаружением вредоносной кампании, проводимой белорусскими хакерами, спонсируемыми государством, известными как GhostWriter (также известные как UAC-0057 и UNC1151), которые используют заминированные документы Microsoft Excel в атаках, направленных на Министерство обороны Украины.
"При выполнении документа Excel, который содержит встроенный макрос VBA, он удаляет LNK и файл загрузки DLL", - сообщила компания Symantec, принадлежащая Broadcom. "Впоследствии запуск файла LNK инициирует загрузчик DLL, что потенциально приводит к предполагаемой конечной полезной нагрузке, включая AgentTesla, Cobalt Strike beacons и njRAT".
