Το Computer Emergency Response Team (CERT-UA) της Ουκρανίας προειδοποιεί ότι οι hackers Gamaredon δρουν πολύ γρήγορα στις επιθέσεις τους, καθώς καταφέρνουν να κλέβουν δεδομένα από παραβιασμένα συστήματα σε λιγότερο από μια ώρα μετά την παραβίαση.

Η Gamaredon, η οποία είναι επίσης γνωστή ως Armageddon, UAC-0010 και Shuckworm, είναι μια ρωσική ομάδα κυβερνοκατασκοπείας που χρηματοδοτείται από το κράτος. Τα μέλη της έχουν συνδεθεί με τη ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB) και λέγεται ότι περιλαμβάνουν πρώην αξιωματικούς της SSU που αυτομόλησαν στη Ρωσία το 2014.

Από την αρχή της ρωσικής εισβολής, πιστεύεται ότι οι συγκεκριμένοι hackers έχουν πραγματοποιήσει χιλιάδες επιθέσεις εναντίον της κυβέρνησης και άλλων σημαντικών δημόσιων και ιδιωτικών οργανισμών στην Ουκρανία.

Δείτε επίσης: Το AVrecon malware μολύνει 70.000 Linux routers για να δημιουργήσει botnet

Από τις επιθέσεις αυτές συλλέχθηκαν δεδομένα τα οποία επέτρεψαν στο CERT-UA να περιγράψει την ομάδα και τις επιθέσεις της. Τα στοιχεία αυτά διαμοιράζονται προκειμένου να βοηθηθούν οι υπερασπιστές δικτύων να εντοπίσουν και να αποτρέψουν περαιτέρω προσπάθειες παραβίασης.

Gamaredon hackers: Επιθέσεις

Οι επιθέσεις της ομάδας Gamaredon συνήθως ξεκινούν με ένα email ή μήνυμα που αποστέλλεται στα θύματα μέσω Telegram, WhatsApp, Signal ή άλλων εφαρμογών IM.

Η αρχική μόλυνση επιτυγχάνεται με το άνοιγμα κακόβουλων συνημμένων, όπως αρχεία HTM, HTA και LNK που είναι μεταμφιεσμένα σε έγγραφα του Microsoft Word ή του Excel.

Όταν το θύμα ανοίγει τα κακόβουλα συνημμένα, εκτελούνται στη συσκευή του PowerShell scripts και κακόβουλο λογισμικό, το οποίο είναι συνήθως το “GammaSteel“.

Το αρχικό βήμα μόλυνσης επιτρέπει την τροποποίηση Microsoft Office Word templates, έτσι ώστε όλα τα έγγραφα που δημιουργούνται στον μολυσμένο υπολογιστή να φέρουν μια κακόβουλη μακροεντολή που μπορεί να διαδώσει το κακόβουλο λογισμικό των hackers Gamaredon σε άλλα συστήματα.

Το PowerShell script στοχεύει τα cookies του προγράμματος περιήγησης που περιέχουν session data. Αυτό επιτρέπει στους hackers να αποκτήσουν πρόσβαση σε λογαριασμούς που προστατεύονται από έλεγχο ταυτότητας δύο παραγόντων.

Δείτε επίσης: Η καμπάνια κλοπής Cloud Credential της TeamTNT στοχεύει τώρα το Azure και το Google Cloud

Όσον αφορά στη λειτουργικότητα του GammaSteel malware, το CERT-UA λέει ότι στοχεύει αρχεία με συγκεκριμένες επεκτάσεις: .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb.

Εάν οι επιτιθέμενοι ενδιαφέρονται για τα έγγραφα που βρίσκονται στον υπολογιστή ενός θύματος, τα κλέβουν μέσα σε 30-50 λεπτά.

Επιπλέον, σύμφωνα με το CERT-UA, οι hackers Gamaredon εγκαθιστούν έως και 120 κακόβουλα μολυσμένα αρχεία την εβδομάδα στο παραβιασμένο σύστημα για να αυξήσουν την πιθανότητα εκ νέου μόλυνσης.

Τυχόν USB sticks που έχουν τοποθετηθεί στις θύρες ενός μολυσμένου υπολογιστή θα μολυνθούν αυτόματα, κάτι που θα μπορούσε να οδηγήσει στη μόλυνση και άλλων συσκευών.

Τέλος, οι hackers αλλάζουν τις διευθύνσεις IP των command and control servers ενδιάμεσων θυμάτων τρεις έως έξι φορές την ημέρα, καθιστώντας πιο δύσκολο για τους υπερασπιστές να μπλοκάρουν ή να εντοπίσουν τις κακόβουλες δραστηριότητες.

Σύμφωνα με το CERT-UA, ο καλύτερος τρόπος για να περιοριστεί η αποτελεσματικότητα των επιθέσεων των Ρώσων hackers Gamaredon είναι ο αποκλεισμός ή ο περιορισμός της μη εξουσιοδοτημένης εκτέλεσης των mshta.exe, wscript.exe, cscript.exe και powershell.exe.

Δείτε επίσης: Shutterfly: Η επίθεση Clop ransomware δεν επηρέασε τα δεδομένα πελατών

Οι επιθέσεις που διανέμουν malware αποτελούν σοβαρή απειλή για τις συσκευές και τα δίκτυα αλλά διατηρώντας τα συστήματα ενημερωμένα και ακολουθώντας βέλτιστες πρακτικές, μπορούμε να προστατευτούμε σε ένα βαθμό. Θυμηθείτε να διατηρείτε το λογισμικό σας ενημερωμένο, να χρησιμοποιείτε λογισμικό προστασίας από ιούς, να είστε προσεκτικοί όταν ανοίγετε συνημμένα email και να δημιουργείτε αντίγραφα ασφαλείας των αρχείων σας τακτικά. Ακολουθώντας αυτά τα απλά βήματα, μπορείτε να προστατεύσετε την ψηφιακή σας ζωή και να προστατεύσετε τα δεδομένα σας από εγκληματίες στον κυβερνοχώρο.

Πηγή: www.bleepingcomputer.com