Kompanije u Rusiji i Moldaviji bile su meta phishing kampanje koju je organizovala malo poznata grupa za cyber špijunažu poznata kao XDSpy .
Nalazi dolaze od firme FACCT za sajber sigurnost, koja je rekla da lanci infekcije dovode do implementacije zlonamjernog softvera pod nazivom DSdownloader. Aktivnost je uočena ovog mjeseca, dodaje se.
XDSpy je haker neodređenog porijekla koji je prvi otkrio bjeloruski tim za hitne slučajeve, CERT.BY, u februaru 2020. Naknadna analiza ESET-a pripisala je grupu napadima krađe informacija usmjerenim na vladine agencije u istočnoj Evropi i Balkan od 2011.
Poznato je da lanci napada koje je postavio protivnik koriste e-poruke za krađu identiteta kako bi se infiltrirali na svoje mete glavnim modulom zlonamjernog softvera poznatom kao XDDown koji, zauzvrat, ispušta dodatne dodatke za prikupljanje sistemskih informacija, nabrajajući C: disk, nadgledanje vanjskih diskova, eksfiltriranje lokalnih datoteka i prikupljanje lozinki.
Tokom protekle godine primećeno je da XDSpy cilja ruske organizacije sa C#-bazom dropper-a pod nazivom UTask koji je odgovoran za preuzimanje osnovnog modula u obliku izvršnog fajla koji može da preuzme više korisnih podataka sa servera za komandu i kontrolu (C2).
Najnoviji skup napada uključuje upotrebu phishing e-poruka sa mamcima vezanim za ugovore za propagiranje RAR arhivske datoteke koja sadrži legitimnu izvršnu i zlonamjernu DLL datoteku. DLL se zatim izvršava pomoću prvog koristeći tehnike bočnog učitavanja DLL-a.
Biblioteka se brine o preuzimanju i pokretanju DSDownloader-a, koji, zauzvrat, otvara varalicu kao odvraćanje pažnje, dok krišom preuzima malver sledeće faze sa udaljenog servera. FACCT je rekao da korisni teret više nije bio dostupan za preuzimanje u vrijeme analize.
Početak rusko-ukrajinskog rata 2022. svjedočio je značajnoj eskalaciji cyber napada na obje strane, pri čemu su ruske kompanije kompromitovane od strane DarkWatchman RAT , kao i grupa aktivnosti praćenih kao Core Werewolf , Hellhounds , PhantomCore , Rare Wolf , ReaverB Sticky Werewolf , između ostalih posljednjih mjeseci.
Štaviše, proukrajinske haktivističke grupe kao što je Cyber.Anarchy.Squad takođe su se usredsredile na ruske entitete, vodeći operacije hakovanja i curenja informacija i ometajuće napade na Infotel i Avanpost .
Razvoj događaja dolazi nakon što je ukrajinski tim za hitne slučajeve (CERT-UA) upozorio na porast phishing napada koje je izvršio bjeloruski haker pod nazivom UAC-0057 (aka GhostWriter i UNC1151) koji distribuira porodicu zlonamjernog softvera nazvanu PicassoLoader sa cilj je izbaciti Cobalt Strike Beacon na zaražene domaćine.
Takođe prati otkriće nove kampanje grupe Turla povezane s Rusijom koja koristi zlonamjernu Windows prečicu (LNK) datoteku kao kanal za posluživanje backdoor-a bez fajlova koji može izvršiti PowerShell skripte primljene sa legitimnog, ali kompromitovanog servera i onemogućiti sigurnosne karakteristike.
“Takođe koristi zakrpe memorije, zaobilazi AMSI i onemogućuje sistemske karakteristike evidentiranja događaja kako bi narušio odbranu sistema i poboljšao njegovu sposobnost izbjegavanja,” kažu istraživači G DATA . “On koristi Microsoftov msbuild.exe za implementaciju AWL (bijele liste aplikacija) zaobilaženja kako bi se izbjeglo otkrivanje.”
Izvor:The Hacker News