Microsoft deelde vrijdag meer van de tactieken, technieken en procedures (TTP’s) die de in Rusland gevestigde hackgroep Gamaredon heeft gebruikt om een spervuur van cyberspionageaanvallen op verschillende entiteiten in Oekraïne in de afgelopen zes maanden mogelijk te maken.
De aanvallen zouden de regering, het leger, niet-gouvernementele organisaties (NGO’s), de rechterlijke macht, wetshandhavingsinstanties en non-profitorganisaties hebben uitgekozen met als belangrijkste doel gevoelige informatie te exfiltreren, toegang te behouden en deze als hefboom te gebruiken om lateraal naar verwante organisaties.
Het Threat Intelligence Center (MSTIC) van de Windows-maker volgt het cluster onder de naam ACTINIUM (voorheen DEV-0157), en houdt vast aan zijn traditie van het identificeren van activiteiten van natiestaten aan de hand van namen van chemische elementen.
De Oekraïense regering heeft in november 2021 Gamaredon publiekelijk toegeschreven aan de Russische Federale Veiligheidsdienst (FSB) en haar operaties verbonden met het FSB-kantoor van Rusland in de Republiek van de Krim en de stad Sebastopol.
“Sinds oktober 2021 heeft ACTINIUM accounts getarget of gecompromitteerd bij organisaties die cruciaal zijn voor de respons op noodsituaties en het waarborgen van de veiligheid van het Oekraïense grondgebied, evenals bij organisaties die betrokken zouden zijn bij de coördinatie van de distributie van internationale en humanitaire hulp aan Oekraïne in een crisis,” MSTIC onderzoekers zei.
Het is de moeite waard erop te wijzen dat de Gamaredon-bedreigingsgroep een unieke reeks aanvallen vertegenwoordigt die los staan van de cyberoffensieven van vorige maand, waarbij meerdere Oekraïense overheidsinstanties en bedrijfsentiteiten werden uitgeschakeld met destructieve malware voor het wissen van gegevens, vermomd als ransomware.
De aanvallen maken voornamelijk gebruik van spear-phishing-e-mails als een eerste toegangsvector, waarbij de berichten met malware-geregen macro-bijlagen bevatten die externe sjablonen gebruiken die kwaadaardige code bevatten wanneer de ontvangers de vervalste documenten openen.
In een interessante tactiek voegen de operators ook een tracking pixel-achtige “webbug” in de hoofdtekst van het phishing-bericht om te controleren of een bericht is geopend, waarna de infectieketen een proces in meerdere fasen in gang zet dat culmineert in de inzet van verschillende binaire bestanden, waaronder –
- PowerPunch – Een op PowerShell gebaseerde dropper en downloader die wordt gebruikt om de uitvoerbare bestanden van de volgende fase op afstand op te halen
- Pterodo – Een constant evoluerende achterdeur met veel functies die ook een reeks mogelijkheden biedt die bedoeld zijn om analyse moeilijker te maken, en
- Rustig Zeef – Een zwaar verduisterd .NET-binair bestand dat specifiek is gericht op gegevensexfiltratie en verkenning op de doelhost
“Hoewel de QuietSieve-malwarefamilie voornamelijk is gericht op het onderscheppen van gegevens van de gecompromitteerde host, kan het ook een externe payload van de operator ontvangen en uitvoeren”, legden de onderzoekers uit, terwijl ze ook de mogelijkheid noemden om screenshots van de gecompromitteerde host te maken ongeveer elke vijf minuten.
Dit is verre van de enige inbraak die is georganiseerd door de dreigingsactor, die vorige maand ook een niet nader genoemde westerse overheidsorganisatie in Oekraïne trof via een met malware geregen cv voor een actieve vacature bij de entiteit die op een lokaal banenportaal was geplaatst. Het richtte zich in december 2021 ook op de State Migration Service (sms) van het land.
De bevindingen komen ook als Cisco Talos, in zijn voortdurende analyse van de incidenten in januari, details bekendmaakte van een lopende… desinformatiecampagne poging om de defacement en wiper aanvallen toe te schrijven aan Oekraïense groepen die minstens negen maanden oud zijn.
