Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft gewaarschuwd dat meer dan 2.000 computers in het land zijn geïnfecteerd door een soort malware genaamd DirtyMoe.
Het bureau schreef de campagne toe aan een bedreigingsacteur die het noemt UAC-0027.
DirtyMoe, actief sinds minstens 2016, is in staat cryptojacking en gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren. In maart 2022 onthulde cyberbeveiligingsbedrijf Avast het vermogen van de malware om zich op een wormachtige manier te verspreiden door gebruik te maken van bekende beveiligingsfouten.
Het is bekend dat het DDoS-botnet wordt geleverd door middel van een andere malware die Purple Fox wordt genoemd of via valse MSI-installatiepakketten voor populaire software zoals Telegram. Purple Fox is ook uitgerust met een rootkit waarmee de bedreigingsactoren de malware op de machine kunnen verbergen en het moeilijk maken om deze te detecteren en te verwijderen.
De exacte initiële toegangsvector die wordt gebruikt in de campagne gericht op Oekraïne is momenteel onbekend. CERT-UA beveelt organisaties aan hun systemen up-to-date te houden, netwerksegmentatie af te dwingen en het netwerkverkeer te controleren op afwijkende activiteiten.
De onthulling komt op het moment dat Securonix een voortdurende phishing-campagne, bekend als STEADY#URSA, uiteenzette, gericht op Oekraïens militair personeel met als doel een op maat gemaakte PowerShell-achterdeur te leveren genaamd SUBTLE-PAWS.
“De exploitatieketen is relatief eenvoudig: het houdt in dat het doelwit een kwaadaardig snelkoppelingsbestand (.lnk) uitvoert dat een nieuwe PowerShell-backdoor-payloadcode laadt en uitvoert (te vinden in een ander bestand in hetzelfde archief)”, beveiligingsonderzoekers Den Iuzvyk, Tim Peck, en Oleg Kolesnikov zeiden.
Er wordt gezegd dat de aanval verband houdt met een bedreigingsacteur die bekend staat als Shuckworm, ook bekend als Aqua Blizzard (voorheen Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 en Winterflounder. Het is ten minste sinds 2013 actief en wordt geacht deel uit te maken van de Russische Federale Veiligheidsdienst (FSB).
SUBTLE-PAWS gebruikt niet alleen persistentie op de host, maar gebruikt ook het blogplatform van Telegram, Telegraph genaamd, om de command-and-control (C2)-informatie op te halen, een techniek die sinds begin 2023 werd geassocieerd met de tegenstander en die zich kan verspreiden via verwisselbare aangesloten schijven.
Het vermogen van Gamaredon om zich via USB-drives te verspreiden werd in november 2023 ook gedocumenteerd door Check Point, dat de op PowerShell gebaseerde USB-worm LitterDrifter noemde.
“De SUBTLE-PAWS-achterdeur maakt gebruik van geavanceerde technieken om kwaadaardige ladingen dynamisch uit te voeren”, aldus de onderzoekers.
“Ze slaan uitvoerbare PowerShell-code op uit het Windows-register en halen deze op, wat kan helpen bij het omzeilen van traditionele, op bestanden gebaseerde detectiemethoden. Deze aanpak helpt ook bij het handhaven van de persistentie op het geïnfecteerde systeem, omdat de malware zichzelf opnieuw kan initiëren na opnieuw opstarten of andere onderbrekingen.”
