Russiske hackere gik målrettet efter olieraffinaderi i NATO-land under Ukraine-krigen
Den russisk-forbundne Gamaredon-gruppe forsøgte tidligere på året uden held at bryde ind i et stort olieraffineringsselskab i et NATO-medlemsland midt i den igangværende russisk-ukrainske krig.
Angrebet, der fandt sted den 30. august 2022, er blot et af flere indtrængen orkestreret af den avancerede vedvarende trussel (APT), der tilskrives Ruslands føderale sikkerhed Bureau (FSB).
Gamaredon, også kendt under navnene Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa og Winterflounder, har en historie med primært at gå efter ukrainske enheder og i mindre grad NATO-allierede for at høste følsomme data.
“Da konflikten er fortsat på jorden og i cyberspace, har Trident Ursa fungeret som en dedikeret adgangsskaber og efterretningssamler,” sagde Palo Alto Networks Unit 42 i en rapport delt med The Hacker News. “Trident Ursa er fortsat en af de mest gennemgribende, påtrængende, kontinuerligt aktive og fokuserede APT’er rettet mod Ukraine.”
Enhed 42’s fortsatte overvågning af gruppens aktiviteter har afsløret mere end 500 nye domæner, 200 malware-prøver og flere skift i sin taktik i løbet af de sidste 10 måneder som reaktion på stadigt skiftende og voksende prioriteter.
Ud over cyberangreb har sikkerhedsforskere, der fremhævede besætningens forpligtelser i dagene før den militære invasion i februar 2022, modtaget truende tweets fra en påstået Gamaredon-medarbejder, hvilket understreger de intimideringsteknikker, som modstanderen har vedtaget.
Andre bemærkelsesværdige metoder inkluderer brugen af Telegram-sider til at slå kommando-og-kontrol (C2) servere op og hurtig flux DNS til at rotere gennem mange IP-adresser på kort tid for at gøre IP-baseret benægtelse og fjernelsesindsats sværere.
Angrebene i sig selv indebærer levering af våbenvedhæftede filer indlejret i spear-phishing-e-mails for at implementere en VBScript-bagdør på den kompromitterede vært, der er i stand til at etablere vedholdenhed og udføre yderligere VBScript-kode leveret af C2-serveren.
Gamaredon-infektionskæder er også blevet observeret udnytte geoblokering for at begrænse angrebene til bestemte placeringer sammen med at bruge dropper-eksekverbare filer til at starte næste trin VBScript-nyttelast, som efterfølgende opretter forbindelse til C2-serveren for at udføre yderligere kommandoer.
Geoblokeringsmekanismen fungerer som en blind vinkel for sikkerhed, da den reducerer synligheden af trusselsaktørens angreb uden for de målrettede lande og gør dens aktiviteter vanskeligere at spore.
“Trident Ursa forbliver en smidig og adaptiv APT, der ikke bruger alt for sofistikerede eller komplekse teknikker i sine operationer,” siger forskerne. “I de fleste tilfælde er de afhængige af offentligt tilgængelige værktøjer og scripts – sammen med en betydelig mængde tilsløring – samt rutinemæssige phishing-forsøg for at udføre deres operationer med succes.”
Kilde: TheHackerNews
Foto: Pexels