Entitas di Ukraina telah ditargetkan sebagai bagian dari kampanye phishing yang dirancang untuk mendistribusikan akses jarak jauh Trojan yang disebut REMCOS Rat.
“Nama -nama file menggunakan kata -kata Rusia yang terkait dengan pergerakan pasukan di Ukraina sebagai umpan,” kata peneliti Cisco Talos Guilherme Venere dalam sebuah laporan yang diterbitkan pekan lalu. “The PowerShell Downloader menghubungi server pemagalan geo yang berlokasi di Rusia dan Jerman untuk mengunduh file zip tahap kedua yang berisi backdoor REMCOS.”
Kegiatan ini telah dikaitkan dengan kepercayaan sedang dengan kelompok peretasan Rusia yang dikenal sebagai GameDon, yang juga dilacak di bawah monikers Aqua Blizzard, Armageddon, Blue Otso, Bluealpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNCB530, dan Winterfl.
Aktor ancaman, yang dinilai berafiliasi dengan Layanan Keamanan Federal Rusia (FSB), dikenal karena penargetan organisasi Ukraina untuk spionase dan pencurian data. Ini operasional sejak setidaknya 2013.
Kampanye terbaru ditandai dengan distribusi file shortcut windows (LNK) yang dikompresi di dalam arsip zip, menyamarkannya sebagai dokumen Microsoft Office yang terkait dengan perang Russo-Ukraina yang sedang berlangsung untuk menipu penerima agar membukanya. Diyakini arsip -arsip ini dikirim melalui email phishing.
Tautan ke GameDon batang dari penggunaan dua mesin yang digunakan dalam membuat file pintasan berbahaya dan yang sebelumnya digunakan oleh aktor ancaman untuk tujuan yang sama.
File LNK dilengkapi dengan kode PowerShell yang bertanggung jawab untuk mengunduh dan mengeksekusi payload tahap berikutnya Cmdlet Get-Command, serta mengambil file umpan yang ditampilkan kepada korban untuk menjaga tipu daya.
Tahap kedua adalah arsip ZIP lain, yang berisi DLL berbahaya untuk dieksekusi melalui teknik yang disebut sebagai pemuatan samping DLL. DLL adalah loader yang mendekripsi dan menjalankan muatan REMCOS akhir dari file terenkripsi yang ada dalam arsip.
Pengungkapan itu datang sebagai dorongan diam merinci kampanye phishing yang menggunakan umpan situs web untuk mengumpulkan informasi terhadap individu Rusia yang bersimpati kepada Ukraina. Kegiatan ini diyakini sebagai pekerjaan dari dinas intelijen Rusia atau aktor ancaman yang selaras dengan Rusia.
Kampanye ini terdiri dari empat kelompok phishing utama, menyamar sebagai Badan Intelijen Pusat AS (CIA), Korps Relawan Rusia, Legiun Liberty, dan Hochuzhit “Saya ingin hidup,” sebuah hotline untuk menerima banding dari anggota layanan Rusia di Ukraina untuk menyerahkan diri mereka kepada pasukan bersenjata Ukraina.
Halaman phishing telah ditemukan di -host di penyedia hosting anti peluru, NYBULA LLC, dengan aktor ancaman yang mengandalkan formulir Google dan respons email untuk mengumpulkan informasi pribadi, termasuk pandangan politik, kebiasaan buruk, dan kebugaran fisik, dari para korban.
“Semua kampanye […] Diamati telah memiliki sifat yang sama dan berbagi tujuan bersama: mengumpulkan informasi pribadi dari korban yang dikunjungi di lokasi, “kata Silent Push.” Honeypots phishing ini kemungkinan merupakan pekerjaan dari baik layanan intelijen Rusia atau aktor ancaman yang selaras dengan kepentingan Rusia. “
