Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft gewaarschuwd voor een nieuwe phishing-campagne, georkestreerd door de aan Rusland gelinkte APT28-groep, om voorheen ongedocumenteerde malware zoals OCEANMAP, MASEPIE en STEELHOOK in te zetten om gevoelige informatie te verzamelen.
De activiteit, die tussen 15 en 25 december 2023 door de dienst werd gedetecteerd, richt zich op overheidsinstanties met e-mailberichten waarin ontvangers worden aangespoord op een link te klikken om een document te bekijken.
Integendeel, de links verwijzen door naar kwaadwillende webbronnen die misbruik maken van JavaScript en de “search-ms:” URI-protocolhandler om een Windows-snelkoppelingsbestand (LNK) te plaatsen dat PowerShell-opdrachten lanceert om een infectieketen te activeren voor een nieuwe bekende malware. als MASEPIE.
MASEPIE is een op Python gebaseerd hulpmiddel voor het downloaden/uploaden van bestanden en het uitvoeren van opdrachten, waarbij de communicatie met de command-and-control (C2)-server plaatsvindt via een gecodeerd kanaal met behulp van het TCP-protocol.
De aanvallen maken verder de weg vrij voor de inzet van aanvullende malware, waaronder een PowerShell-script genaamd STEELHOOK dat in staat is webbrowsergegevens te verzamelen en deze in Base64-gecodeerde indeling naar een door een actor bestuurde server te exporteren.
Er wordt ook een op C# gebaseerde achterdeur meegeleverd, genaamd OCEANMAP, die is ontworpen om opdrachten uit te voeren met behulp van cmd.exe.
“Het IMAP-protocol wordt gebruikt als controlekanaal”, aldus CERT-UA. Het toevoegen van persistentie wordt bereikt door een URL-bestand met de naam “VMSearch.url” te maken in de Windows Opstartmap.
“Opdrachten, in Base64-gecodeerde vorm, zijn opgenomen in de ‘Concepten’ van de overeenkomstige e-mailmappen; elk van de concepten bevat de naam van de computer, de naam van de gebruiker en de versie van het besturingssysteem. De resultaten van de opdrachten worden opgeslagen in de map Postvak IN.”
Het agentschap wees er verder op dat verkennings- en zijwaartse bewegingsactiviteiten binnen een uur na het oorspronkelijke compromis worden uitgevoerd door gebruik te maken van tools als Impacket en SMBExec.
De onthulling komt weken nadat IBM X-Force het gebruik van kunstaas door APT28 in verband met de aanhoudende oorlog tussen Israël en Hamas onthulde om de levering van een op maat gemaakte achterdeur genaamd HeadLace te vergemakkelijken.
De afgelopen weken werd de productieve, door het Kremlin gesteunde hackgroep ook toegeschreven aan de exploitatie van een nu gepatcht kritiek beveiligingslek in de e-mailservice van Outlook (CVE-2023-23397, CVSS-score: 9,8) om ongeoorloofde toegang te verkrijgen tot de slachtoffers. accounts binnen Exchange-servers.
