Ο πόλεμος των εγγράφων–δόλωμα στη σύγκρουση Ρωσίας/Ουκρανίας

Η (CPR) έχει καταγράψει ομάδες απειλής να χρησιμοποιούν έγγραφα με θέμα τη σύγκρουση ς/ς για να διαδώσουν κακόβουλο λογισμικό και να παρασύρουν θύματα σε κατασκοπεία στον κυβερνοχώρο παγκοσμίως. Ανάλογα με τους στόχους και την περιοχή, οι επιτιθέμενοι χρησιμοποιούν ως δόλωμα έγγραφα που έχουν επίσημη εμφάνιση, μέχρι και άρθρα ειδήσεων και αγγελίες εργασίας.

spying

Η CPR πιστεύει ότι το κίνητρο πίσω από αυτές τις πρόσφατες εκστρατείες είναι η κατασκοπεία στον κυβερνοχώρο, για την κλοπή ευαίσθητων πληροφοριών από κυβερνήσεις, τράπεζες και εταιρείες ενέργειας. Οι ομάδες απειλών και τα θύματά τους δεν συγκεντρώνονται σε μία περιοχή, αλλά καλύπτουν όλο τον κόσμο, συμπεριλαμβανομένης της Λατινικής Αμερικής, της Μέσης Ανατολής και της Ασίας.

Σε μια νέα δημοσίευση, η CPR παρουσιάζει τα προφίλ τριών ομάδων APT, που ονομάζονται El Machete, Lyceum και Sidewinder, οι οποίες εντοπίστηκαν πρόσφατα να διεξάγουν εκστρατείες spear-phishing σε πέντε χώρες. Ο παρακάτω πίνακας συνοψίζει την προέλευση, τον τομέα-στόχο και τις χώρες-στόχους κάθε ομάδας APT.

Ονομασία APT Προέλευση APT Τομέας-Στόχος Χώρες-Στόχος
El Machete Ισπανόφωνη Χώρα Οικονομικός, Κυβερνητικός Νικαράγουα, Βενεζουέλα
Lyceum Ισλαμική Δημοκρατία του Ιράν Ενέργεια Ισραήλ, Σαουδική Αραβία
SideWinder Πιθανώς Ινδία Άγνωστος Πακιστάν

Δυνατότητες κακόβουλου λογισμικού

Η CPR μελέτησε το κακόβουλο λογισμικό που περιείχε καθεμία από τις τρεις ομάδες APT, ειδικά για αυτές τις δραστηριότητες κατασκοπείας στον κυβερνοχώρο. Οι δυνατότητες περιλαμβάνουν:

  • Keylogging: κλέβει ό,τι εισάγετε χρησιμοποιώντας το πληκτρολόγιο
  • Συλλογή διαπιστευτηρίων: συλλέγει διαπιστευτήρια που είναι αποθηκευμένα σε προγράμματα περιήγησης Chrome και Firefox
  • Συλλογή αρχείων: συλλέγει πληροφορίες σχετικά με τα αρχεία σε κάθε μονάδα δίσκου και συλλέγει ονόματα αρχείων και μεγέθη αρχείων, επιτρέποντας την κλοπή συγκεκριμένων αρχείων
  • Στιγμιότυπο οθόνης (Screenshot)
  • Συλλογή δεδομένων από το clipboard
  • Εκτέλεση εντολών

Μεθοδολογίες επίθεσης

spy 007
  1. Spear-phishing email με κείμενο για την Ουκρανία
  2. Συνημμένο έγγραφο Word με άρθρο για την Ουκρανία
  3. Κακόβουλη μακροεντολή μέσα στο έγγραφο ρίχνει μια ακολουθία αρχείων
  4. Λήψη κακόβουλου λογισμικού στον υπολογιστή

Lyceum

  1. Email με περιεχόμενο σχετικά με εγκλήματα πολέμου στην Ουκρανία και σύνδεσμο προς κακόβουλο έγγραφο που φιλοξενείται σε ιστότοπο
  2. Το έγγραφο εκτελεί έναν κωδικό μακροεντολής όταν το έγγραφο είναι κλειστό
  3. Το αρχείο Exe αποθηκεύεται στον υπολογιστή
  4. Την επόμενη φορά που θα επανεκκινήσετε τον υπολογιστή σας, το κακόβουλο λογισμικό εκτελείται
  Formbook το πιο διαδεδομένο malware τον Σεπτέμβριο του 2022

SideWinder

  1. Το θύμα ανοίγει το κακόβουλο έγγραφο
  2. Όταν ανοίξει, το έγγραφο ανακτά ένα απομακρυσμένο πρότυπο από ελεγχόμενο 
  3. Το εξωτερικό πρότυπο που έχει ληφθεί είναι ένα αρχείο RTF, το οποίο εκμεταλλεύεται την ευπάθεια CVE-2017-11882
  4. Το κακόβουλο λογισμικό έχει εγκατασταθεί στον υπολογιστή του θύματος

El Machete

Το  Machete εθεάθη να στέλνει spear-phishing μηνύματα σε χρηματοοικονομικούς οργανισμούς στη Νικαράγουα, με συνημμένο έγγραφο Word με τίτλο «Σκοτεινά σχέδια του νεοναζιστικού καθεστώτος στην Ουκρανία». Το έγγραφο περιείχε ένα άρθρο που γράφτηκε και δημοσιεύτηκε από τον Alexander Khokholikov, τον Ρώσο πρεσβευτή στη Νικαράγουα, το οποίο συζητούσε τη ρωσο-ουκρανική σύγκρουση από την οπτική γωνία του Κρεμλίνου.

image001

Εικόνα 1 – Έγγραφο-Δόλωμα που περιέχει ένα άρθρο σχετικά με τη σύγκρουση Ρωσίας-Ουκρανίας, που στάλθηκε από το El Machete APT σε χρηματοπιστωτικά ιδρύματα της Νικαράγουας.

Lyceum

Στα μέσα Μαρτίου, μια ισραηλινή εταιρεία ενέργειας έλαβε ένα email από τη διεύθυνση inews-reporter@protonmail[.]com με θέμα «Ρωσικά εγκλήματα πολέμου στην Ουκρανία». Το email περιείχε μερικές φωτογραφίες που ελήφθησαν από πηγές δημόσιων μέσων και περιείχε έναν σύνδεσμο προς ένα άρθρο που φιλοξενήθηκε στο news-spot[.]live domain. Ο σύνδεσμος στο email οδηγεί σε ένα έγγραφο που περιέχει το άρθρο «Οι ερευνητές συγκεντρώνουν στοιχεία για πιθανά ρωσικά εγκλήματα πολέμου στην Ουκρανία» που δημοσιεύτηκε από τον Guardian. Το ίδιο domain φιλοξενεί μερικά ακόμη κακόβουλα έγγραφα που σχετίζονται με τη Ρωσία καθώς και με τον πόλεμο Ρωσίας-Ουκρανίας, όπως ένα αντίγραφο ενός άρθρου του The Atlantic Council από το 2020 σχετικά με τα ρωσικά πυρηνικά όπλα και μια αγγελία εργασίας για έναν “Extraction / Protective Agent” πράκτορα στην Ουκρανία.

Εικόνα 2. Δόλωμα-email που χρησιμοποιεί το θέμα της σύγκρουσης Ρωσίας-Ουκρανίας, που στάλθηκε από την ομάδα Lyceum

image002

Εικόνα 3 – Έγγραφα-δόλωμα που σχετίζονται με τον πόλεμο Ρωσίας – Ουκρανίας που χρησιμοποιούνται από την APT ομάδα Lyceum

image003

SideWinder:

Το κακόβουλο έγγραφο του Sidewinder, το οποίο επίσης εκμεταλλεύεται τον πόλεμο Ρωσίας-Ουκρανίας, ανέβηκε στο VirusTotal (VT) στα μέσα Μαρτίου. Κρίνοντας από το περιεχόμενό του, οι επιθυμητοί στόχοι είναι Πακιστανικές οντότητες. Το έγγραφο δόλωμα περιέχει αρχείο του National Institute of Maritime Affairs του Πανεπιστημίου Bahria στο Ισλαμαμπάντ και τιτλοφορείται «Συζήτηση για τον αντίκτυπο της σύγκρουσης Ρωσίας-Ουκρανίας στο Πακιστάν». Αυτό το κακόβουλο έγγραφο χρησιμοποιεί απομακρυσμένη εισροή προτύπου. Όταν ανοίξει, το έγγραφο ανακτά ένα απομακρυσμένο πρότυπο από έναν ελεγχόμενο server από τους επιτιθέμενους.

  2ο τρίμηνο του 2022 κορύφωση όλων των εποχών σε επιθέσεις

Εικόνα 4 – Έγγραφο-δόλωμα που σχετίζεται με τον πόλεμο Ρωσίας-Ουκρανίας, από το Sidewinder APT

image004

Σχόλιο του Sergey Shykevich, Threat Intelligence Group Manager στην Software:

«Αυτή τη στιγμή, βλέπουμε μια ποικιλία από καμπάνιες APT που χρησιμοποιούν τον πόλεμο Ρωσίας-Ουκρανίας για διανομή κακόβουλου λογισμικού. Οι εκστρατείες είναι ιδιαίτερα στοχευμένες και εξελιγμένες, εστιάζοντας στον κυβερνητικό, τον χρηματοοικονομικό και τον ενεργειακό τομέα. Στην πιο πρόσφατη αναφορά μας, παρουσιάζουμε προφίλ και φέρνουμε παραδείγματα από τρεις διαφορετικές ομάδες APT, που προέρχονται όλες από διαφορετικά μέρη του κόσμου, τις οποίες εντοπίσαμε να ενορχηστρώνουν αυτές τις εκστρατείες spear-phishing. Μελετήσαμε προσεκτικά το κακόβουλο λογισμικό που εμπλέκεται και βρήκαμε δυνατότητες που καλύπτουν την καταγραφή πληκτρολογίου, τη λήψη στιγμιότυπων οθόνης και πολλά άλλα. Πιστεύω ακράδαντα ότι αυτές οι εκστρατείες έχουν σχεδιαστεί με βασικό κίνητρο την κατασκοπεία στον κυβερνοχώρο. Τα ευρήματά μας αποκαλύπτουν μια σαφή τάση, ότι αφορά στον πόλεμο μεταξύ Ρωσίας και Ουκρανίας είναι δόλωμα που χρησιμοποιούν ομάδες απειλής παγκοσμίως. Συνιστώ ανεπιφύλακτα στις κυβερνήσεις, τις τράπεζες και τις εταιρείες ενέργειας να ενεργοποιηθούν όσον αφορά στην ευαισθητοποίηση και εκπαίδευση των εργαζομένων τους για την κυβερνοασφάλεια και να εφαρμόσουν λύσεις κυβερνοασφάλειας που προστατεύουν το δίκτυο τους σε όλα τα επίπεδα».

Οι πλέον πρόσφατοι Αριθμοί στις Κυβερνοεπιθέσεις σε Ουκρανία, Ρωσία και χώρες του ΝΑΤΟ

Πρόσφατα, η Check Point Research (CPR) δημοσίευσε μια ενημέρωση σχετικά με τις τάσεις των επιθέσεων στον κυβερνοχώρο κατά τη διάρκεια του τρέχοντος πολέμου Ρωσίας-Ουκρανίας. Ένα μήνα μετά την έναρξη του πολέμου στις 24 Φεβρουαρίου 2022, τόσο η Ρωσία όσο και η Ουκρανία είδαν αυξήσεις στις κυβερνοεπιθέσεις κατά 10% και 17% αντίστοιχα.

Η CPR έχει επίσης παρατηρήσει αύξηση 16% στις κυβερνοεπιθέσεις παγκοσμίως καθ’ όλη τη διάρκεια της τρέχουσας σύγκρουσης και παρουσιάζει δεδομένα κυβερνοεπιθέσεων για χώρες, περιοχές του ΝΑΤΟ και άλλα εδώ.

Ουκρανία,Ρωσία,Check Point Research,iguru

Written by newsbot

Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω ... γιατί καμιά φορά κρύβονται οι συντάκτες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  72  =  76