Μια ομάδα hacktivists, γνωστή ως Head Mare, έχει συνδεθεί με επιθέσεις που στοχεύουν τη Ρωσία και τη Λευκορωσία, μέσω της εκμετάλλευσης μιας ευπάθειας του WinRAR.
Σύμφωνα με μια έκθεση της Kaspersky, οι επιτιθέμενοι εκμεταλλεύτηκαν την ευπάθεια CVE-2023-38831 στο WinRAR, η οποία επιτρέπει την εκτέλεση κακόβουλου κώδικα στο σύστημα μέσω ενός ειδικά προετοιμασμένου αρχείου.
“Αυτή η προσέγγιση επιτρέπει στην ομάδα να παραδίδει και να συγκαλύπτει το κακόβουλο payload πιο αποτελεσματικά“, λένε οι ερευνητές.
Οι hacktivists Head Mare επιτίθενται σε ρωσικούς οργανισμούς στο πλαίσιο της ρωσο-ουκρανικής σύγκρουσης που ξεκίνησε το 2022.
Δείτε επίσης: D-Link: Δεν θα διορθώσει τις νέες ευπάθειες στο DIR-846W router
Η ομάδα είναι ενεργή στο X, όπου έχει διαρρεύσει ευαίσθητες πληροφορίες θυμάτων. Οι στόχοι των επιθέσεων περιλαμβάνουν τους τομείς των κυβερνήσεων, των μεταφορών, της ενέργειας, των κατασκευών και του περιβάλλοντος.
Στα πλαίσια των επιθέσεών της στη Ρωσία και τη Λευκορωσία, η Head Mare κρυπτογραφεί επίσης τις συσκευές των θυμάτων χρησιμοποιώντας το LockBit ransomware (Windows) και το Babuk (Linux, ESXi). Στο τέλος, απαιτεί λύτρα για την αποκρυπτογράφηση δεδομένων.
Επίσης, οι hacktivists χρησιμοποιούν το PhantomDL backdoor που παρέχει πρόσθετα payloads και ανεβάζει αρχεία σε έναν διακομιστή εντολών και ελέγχου και το PhantomCore (ή PhantomRAT), ένα trojan απομακρυσμένης πρόσβασης που επιτρέπει τη λήψη αρχείων από τον διακομιστή C2, τη μεταφόρτωση αρχείων από έναν παραβιασμένο κεντρικό υπολογιστή στον διακομιστή C2, καθώς και την εκτέλεση εντολών στο cmd.exe command line interpreter.
“Οι εισβολείς δημιουργούν scheduled tasks και registry values που ονομάζονται MicrosoftUpdateCore και MicrosoftUpdateCoree για να συγκαλύψουν τη δραστηριότητά τους ως tasks που σχετίζονται με λογισμικό της Microsoft“, είπε η Kaspersky.
Δείτε επίσης: Η Zyxel διόρθωσε κρίσιμη ευπάθεια σε routers
“Βρήκαμε επίσης ότι ορισμένα δείγματα LockBit που χρησιμοποιήθηκαν από την ομάδα είχαν τα ακόλουθα ονόματα: OneDrive.exe [και] VLC.exe. Αυτά τα δείγματα βρίσκονταν στον κατάλογο C:\ProgramData, μεταμφιεσμένα ως νόμιμες εφαρμογές OneDrive και VLC
“. Οι ερευνητές παρατήρησαν ότι αυτά διανέμονται μέσω εκστρατειών phishing.Ένα άλλο χρήσιμο εργαλείο των hacktivists είναι το Sliver, ένα open-source C2 framework.
Οι εισβολές κορυφώνονται με την ανάπτυξη είτε του LockBit είτε του Babuk ανάλογα με το περιβάλλον-στόχο.
“Οι τακτικές, οι μέθοδοι, οι διαδικασίες και τα εργαλεία που χρησιμοποιούνται από την ομάδα Head Mare είναι γενικά παρόμοιες με εκείνες άλλων ομάδων, που στοχεύουν οργανισμούς στη Ρωσία και τη Λευκορωσία στο πλαίσιο της ρωσο-ουκρανικής σύγκρουσης“, δήλωσε η Kaspersky.
“Ωστόσο, η ομάδα ξεχωρίζει λόγω της χρήσης custom λογισμικού, όπως το PhantomDL και το PhantomCore, καθώς και λόγω της εκμετάλλευσης μιας σχετικά νέας ευπάθειας (του WinRAR)“.
Δείτε επίσης: Η Canonical κυκλοφορεί ενημερώσεις για ευπάθειες AWS
Οι δραστηριότητες της Head Mare καταδεικνύουν όχι μόνο τις τεχνικές ικανότητές της αλλά και την αποφασιστικότητά της να προκαλέσει βλάβη και να διαταράξει τις επιχειρήσεις στη Ρωσία και τη Λευκορωσία. Ως εκ τούτου, είναι επιτακτική ανάγκη για όλους τους οργανισμούς να επαγρυπνούν έναντι πιθανών επιθέσεων στον κυβερνοχώρο και να λαμβάνουν προληπτικά μέτρα για να προστατευθούν από τους κακόβουλους παράγοντες. Η κυβερνοασφάλεια είναι ένα διαρκώς εξελισσόμενο τοπίο, που απαιτεί συνεχή προσαρμογή και συνεργασία για να παραμείνουν οι επιχειρήσεις μπροστά από τις απειλές στον κυβερνοχώρο.
Πηγή: thehackernews.com