Russische Gamaredon-hackers richtten zich op ‚westerse overheidsinstantie‘ in Oekraïne

Russian Gamaredon Hackers Nachrichten

De aan Rusland gelieerde hackgroep Gamaredon probeerde vorige maand een niet nader genoemde westerse regeringsentiteit die in Oekraïne opereerde, te compromitteren te midden van aanhoudende geopolitieke spanningen tussen de twee landen.

Palo Alto Networks‘ Unit 42 threat intelligence-team, in a nieuw rapport gepubliceerd op 3 februari, zei dat de phishing-aanval op 19 januari plaatsvond, en voegde eraan toe dat het „drie grote clusters van hun infrastructuur in kaart bracht die werden gebruikt om verschillende phishing- en malwaredoeleinden te ondersteunen.“

De dreigingsactor, ook bekend als Shuckworm, Armageddon of Primitive Bear, richt zijn offensieve cyberaanvallen sinds 2013 op Oekraïense overheidsfunctionarissen en -organisaties. Vorig jaar maakte Oekraïne de banden van het collectief met de Russische Federale Veiligheidsdienst (FSB) bekend.

Om de phishing-aanval uit te voeren, maakten de operators achter de campagne gebruik van een zoek- en werkgelegenheidsplatform in het land als kanaal om hun malware-downloader te uploaden in de vorm van een cv voor een actieve vacature met betrekking tot de getargete entiteit.

„Gezien de stappen en precisie die bij deze campagne zijn betrokken, lijkt het erop dat dit een specifieke, opzettelijke poging van Gamaredon was om deze westerse overheidsorganisatie in gevaar te brengen“, merkten de onderzoekers op.

Russische Gamaredon-hackers

Bovendien ontdekte Unit 42 bewijs van een Gamaredon-campagne gericht op de Staatsmigratiedienst (SMS) van Oekraïne op 1 december 2021, die een Word-document als lokaas gebruikte om de open-source UltraVNC Virtual Network Computing (VNC)-software voor het behouden van externe toegang tot geïnfecteerde computers.

„Acteurs van Gamaredon volgen een interessante benadering als het gaat om het bouwen en onderhouden van hun infrastructuur“, aldus onderzoekers. „De meeste actoren kiezen ervoor om domeinen weg te gooien nadat ze in een cybercampagne zijn gebruikt om afstand te nemen van elke mogelijke toeschrijving. De aanpak van Gamaredon is echter uniek omdat ze hun domeinen lijken te recyclen door ze consequent over nieuwe infrastructuur te roteren.“

Alles bij elkaar omvat de aanvalsinfrastructuur niet minder dan 700 malafide domeinen, 215 IP-adressen en meer dan 100 voorbeelden van malware, waarbij de clusters worden gebruikt om bewapende documenten te hosten die zijn ontworpen om kwaadaardige code uit te voeren wanneer ze worden geopend en dienen als commando-en- beheer servers voor zijn Pterodo (ook bekend als Pteranodon) trojan voor externe toegang.

De bevindingen komen minder dan een week nadat Symantec, eigendom van Broadcom, details openbaarde van een andere aanval die tussen juli en augustus 2021 door dezelfde groep was georkestreerd en gericht was op een niet-geïdentificeerde Oekraïense organisatie om de Pterodo RAT in te zetten voor post-exploitatie-activiteiten.

David
Rate author
Hackarizona