Από τον Ιούνιο του 2022, ένας ύπουλος απειλητικός φορέας γνωστός ως “YoroTrooper” συμμετέχει ενεργά σε δραστηριότητες κατασκοπείας εναντίον κυβερνήσεων και ενεργειακών οντοτήτων που βρίσκονται στην Κοινοπολιτεία Ανεξάρτητων Κρατών (ΚΑΚ).
Όπως αναφέρει η Cisco Talos, ένας κακόβουλος φορέας απέκτησε πρόσβαση στους λογαριασμούς ενός βασικού οργάνου της ΕΕ που ασχολείται με την υγειονομική περίθαλψη, του Παγκόσμιου Οργανισμού Πνευματικής Ιδιοκτησίας (WIPO) και πολλών ευρωπαϊκών πρεσβειών.
Ο απειλητικός παράγοντας YoroTrooper είναι γνωστό ότι χρησιμοποιεί έναν συνδυασμό έτοιμων και ειδικών κυβερνοαπειλών, όπως trojans απομακρυσμένης πρόσβασης, κακόβουλο λογισμικό βασισμένο στην Python και κλέφτες πληροφοριών. Η διαδικασία μόλυνσης ξεκινάει κυρίως μέσω phishing emails με επικίνδυνα συνημμένα LNK ή έγγραφα PDF.
Η Cisco Talos έχει αποδείξεις ότι ο YoroTrooper κλέβει τεράστιες ποσότητες δεδομένων από τα παραβιασμένα endpoints, όπως κωδικούς πρόσβασης, cookies και ιστορικό περιήγησης.
Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik
SecNewsTV 1 Αυγούστου, 7:56 πμ
12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις
SecNewsTV 7 Ιουλίου, 10:27 μμ
Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin
SecNewsTV 18 Μαΐου, 1:06 μμ
Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις
SecNewsTV 3 Μαρτίου, 12:57 πμ
LIVE: GoldDigger credential detection & PinataHub platform
SecNewsTV 29 Ιανουαρίου, 1:24 πμ
LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news
SecNewsTV 1 Οκτωβρίου, 12:54 πμ
Αν και τα σημάδια δείχνουν ότι ο YoroTrooper χρησιμοποιεί κακόβουλο λογισμικό που συνδέεται με άλλους ενόχους, συμπεριλαμβανομένων των PoetRAT και LodaRAT, οι ερευνητές της Cisco είναι βέβαιοι ότι πρόκειται για μια εντελώς διαφορετική επιχείρηση.
Στόχευση χωρών της CIS
Κατά τη διάρκεια του καλοκαιριού του 2022, ο YoroTrooper παραβίασε λευκορωσικές οντότητες μέσω κακόβουλων αρχείων PDF που στάλθηκαν από email domains που προσποιούνταν ότι ήταν ρωσικοί ή λευκορωσικοί οργανισμοί.
Τον περασμένο Σεπτέμβριο, η ομάδα κατέγραψε αρκετά typosquatting domains που μιμούνται ρωσικές κυβερνητικές οντότητες και πειραματίστηκε με τη διανομή εμφυτευμάτων που βασίζονται σε NET βάσει VHDX.
Στους μήνες που ακολούθησαν, οι πράκτορες κυβερνοκατασκοπείας έδωσαν την προσοχή τους στη Λευκορωσία και το Αζερμπαϊτζάν. Για να τους βοηθήσουν σε αυτή την αποστολή, χρησιμοποίησαν ένα ειδικά σχεδιασμένο εμφύτευμα Python με την ονομασία “Stink Stealer”.
Το 2023, κακόβουλοι φορείς χρησιμοποίησαν μια επίθεση HTA για να αναπτύξουν παραπλανητικά έγγραφα και εμφυτεύματα dropper στο σύστημα-στόχο. Μέσω αυτής της επίθεσης, κατάφεραν να εγκαταστήσουν με επιτυχία τον δικό τους προσαρμοσμένο Python stealer εναντίον των κυβερνητικών δικτύων του Τατζικιστάν και του Ουζμπεκιστάν.
Πρόσφατα, οι επιτιθέμενοι στον κυβερνοχώρο χρησιμοποίησαν phishing emails που περιείχαν συνημμένα αρχεία RAR ή ZIP για να δελεάσουν τα θύματα με παραπλανητική χρήση θεμάτων εθνικής στρατηγικής και διπλωματίας.
Αξιοποιώντας το “mshta.exe”, τα αρχεία LNK είναι σε θέση να ανακτήσουν και να εκκινήσουν ένα κακόβουλο αρχείο HTA, κάνοντας drop στη συνέχεια το πρωτογενές ωφέλιμο φορτίο στο μολυσμένο σύστημα. Για να αποφευχθεί περαιτέρω η ανίχνευση, ένα δυσδιάκριτο έγγραφο δόλωμα ανοίγει επίσης παράλληλα με αυτή τη διαδικασία.
Δημιουργία προσαρμοσμένου κακόβουλου λογισμικού
Αρχικά, ο απειλητικός παράγοντας YoroTrooper είχε χρησιμοποιήσει κοινό κακόβουλο λογισμικό, όπως το AveMaria (Warzone RAT) και το LodaRAT, ωστόσο, οι δράστες αυτών των επιθέσεων μετατέθηκαν αργότερα στη χρήση προσαρμοσμένων Python RATs που ήταν κρυμμένα στο Nuitka.
Το Nuitka εξαλείφει την ανάγκη εγκατάστασης της Python στις συσκευές, επιτρέποντάς σας να διανέμετε εύκολα ωφέλιμα φορτία ως αυτόνομες εφαρμογές.
Αυτό το προσαρμοσμένο RAT αναπτύσσει το Telegram για επικοινωνία διαχείρισης και διαρροής, επιτρέποντάς του να εκτελεί οποιαδήποτε εντολή στην παραβιασμένη συσκευή.
Τον Ιανουάριο του 2023, ο YoroTrooper χρησιμοποίησε ένα stealer script βασισμένο στην Python για να συλλέξει κακόβουλα τα account credentials που ήταν αποθηκευμένα σε προγράμματα περιήγησης ιστού Chrome και να τα μεταφέρει κρυφά μέσω ενός bot της Telegram.
Τον Φεβρουάριο του 2023, οι επιτιθέμενοι εξαπέλυσαν έναν νέο modular credential stealer με την ονομασία “Stink”.
Το Stink είναι ικανό να κλέβει προσωπικά δεδομένα από προγράμματα περιήγησης που βασίζονται στον Chrome, όπως κωδικούς πρόσβασης, σελιδοδείκτες και ιστορικό περιήγησης. Επιπλέον, μπορεί να λαμβάνει στιγμιότυπα οθόνης και να εξάγει πληροφορίες από διάφορες άλλες πηγές, όπως το Filezilla, το Discord ή το Telegram. Επιπλέον, το κακόβουλο λογισμικό συλλέγει πληροφορίες συστήματος, όπως τα εξαρτήματα υλικού που είναι εγκατεστημένα στη συσκευή ή την έκδοση του λειτουργικού της συστήματος- για να μην αναφέρουμε ποιες διεργασίες εκτελούνται στο παρασκήνιο ανά πάσα στιγμή.
Κάθε κλεμμένο δεδομένο αποθηκεύεται προσωρινά σε έναν φάκελο στο παραβιασμένο σύστημα και τελικά συμπιέζεται πριν μεταφερθεί στους κακόβουλους φορείς.
Με το Stink, οι χρήστες λαμβάνουν πρόσθετη ώθηση στην απόδοση από τα Python modules που εκτελούνται σε απομονωμένες διεργασίες – η καθεμία με το δικό της processor thread για επιταχυνόμενη συλλογή δεδομένων.
Επιπλέον, σε μερικές περιπτώσεις το YoroTrooper έχει χρησιμοποιήσει reverse shells που βασίζονται στην Python και keyloggers που βασίζονται στην C.
Η πηγή του YoroTrooper είναι ένα μυστήριο, και οι χρηματοδότες ή οι συνδέσεις του παραμένουν αβέβαιες.
Το γεγονός ότι η ομάδα απειλών κατασκοπείας χρησιμοποιεί προσαρμοσμένα εργαλεία κακόβουλου λογισμικού δείχνει ότι πρόκειται για επιτιθέμενους με μεγάλη γνώση και επιδεξιότητα.
Πηγή πληροφοριών: bleepingcomputer.com