Site icon Kiber.ba

YoroTrooper špijunske kampanje ciljaju EU zemlje

Ranije nepoznati haker je primijećen kako provodi špijunske kampanje protiv entiteta Zajednice nezavisnih država (CIS).

Nazvan YoroTrooper od strane Cisco Talos tima, hakeri su uglavnom bili usmjereni na vladine i energetske organizacije širom Azerbejdžana, Tadžikistana i Kirgistana.

“Takođe smo primijetili kompromitujuće račune YoroTroopera od najmanje dvije međunarodne organizacije: kritične zdravstvene agencije Evropske unije (EU) i Svjetske organizacije za intelektualno vlasništvo (WIPO)” stoji u savjetu objavljenom ranije danas.

Napisan od strane istraživača bezbjednosti Cisco Talos-a, Vitor Ventura i Asheer Malhotra, u blogu navode da su informacije ukradene tokom napada uključivale kredencijale iz više aplikacija, istorije pretraživača i kolačića, kao i informacije o sistemu i snimke ekrana.

“Glavni alati YoroTrooper-a uključuju Python bazirane, prilagođene i otvorene alate za krađu informacija, kao što je Stink stealer, umotane u izvršne datoteke preko Nuitka framework-a i PyInstaller-a” objasnili su Ventura i Malhotra.

Osim toga, YoroTrooper je koristio razne alate za maliciozni softver kao što su AveMaria/Warzone RAT, LodaRAT i Meterpreter za obavljanje operacija daljinskog pristupa.

Što se tiče lanca infekcije, Cisco Talos tim je rekao da se YoroTrooper oslanjao na phishing email-ove s priloženom datotekom, obično arhivom koja se sastoji od dvije datoteke: datoteke prečice (LNK) i lažne PDF datoteke. 

Fajl prečice je bio početni pokretač zaraze, dok je PDF bio mamac da infekcija izgleda legitimno.

„Da bi prevarili svoje žrtve, haker ili registruje maliciozne domene, a zatim generiše poddomene ili registruje squatted domene koji su zbog greške u kucanju slične legitimnim domenima iz CIS entiteta za smještaj malicioznih artefakata.

Ventura i Malhotra su dodali da su operateri koji stoje iza ove grupe pretnji govornici ruskog jezika, ali nisu nužno smješteni u zemlji ili ruski državljani (s obzirom na viktimologiju CIS-a). Motivi napada uglavnom su povezani sa prikupljanjem informacija i špijunažom.

„Prilagođeni RAT zasnovan na Python-u, koji koristi YoroTrooper, je relativno jednostavan” objasnio je Cisco Talos. “Koristi Telegram kao medij C2 komunikacije i eksfiltracije i sadrži funkcionalnost za pokretanje proizvoljnih naredbi i učitavanje datoteka od interesa za napadača na Telegram kanal putem bota.”

Cisco Talos savjet dolazi nekoliko sedmica nakon što su Symantec-ovi sigurnosni istraživači otkrili još jednog kradljivca na ruskom jeziku pod nazivom „Graphiron“.

Izvor: Infosecurity Magazine

Exit mobile version