De Rusland-gekoppelde dreigingsacteur bekend als Gamaredon (aka Shuckworm) is toegeschreven aan een cyberaanval die zich richt op een buitenlandse militaire missie gevestigd in Oekraïne met als doel een bijgewerkte versie van een bekende malware genaamd Gammasteel te leveren.
De groep richtte zich op de militaire missie van een westers land, volgens het Symantec Threat Hunter -team, met eerste tekenen van de kwaadaardige activiteit die op 26 februari 2025 werd gedetecteerd.
“De initiële infectievector die door de aanvallers wordt gebruikt, lijkt een geïnfecteerde verwijderbare drive te zijn geweest,” zei de Broadcom-eigendom divisie-divisie in de dreiging in een rapport dat wordt gedeeld met het Hacker News.
De aanval begon met het maken van een Windows-registerwaarde onder de UserAssist-toets, gevolgd door het starten van “mshta.exe” met behulp van “explorer.exe” om een multi-fasen infectieketen te starten en twee bestanden te starten.
Het eerste bestand, genaamd “ntuser.dat.tmcontainer00000000000000000001.REGTRANS-MS,” wordt gebruikt om communicatie op te zetten met een command-and-control (C2) -server die wordt verkregen door te reiken met specifieke URL’s die zijn geassocieerd met legitieme diensten zoals Teletype, Telegram en Teletraf, onder andere.
Het tweede bestand in kwestie, “ntuser.dat.tmcontainer00000000000000000002.REGRANS-MS,” is ontworpen om alle verwijderbare schijven en netwerkaandrijving te infecteren door snelkoppeling te maken voor elke map voor elke map om de kwaadaardige “mshta.exe” opdracht en te verbergen en te verbergen.
Vervolgens werd het script op 1 maart 2025 uitgevoerd om contact op te nemen met een C2-server, exfiltraat-systeemmetadata en ontvangt in ruil daarvoor een base64-gecodeerde payload, die vervolgens wordt gebruikt om een PowerShell-commando te uitvoeren om een verdomde nieuwe versie van hetzelfde script te downloaden.
Het script van zijn kant maakt verbinding met een hard gecodeerde C2-server om nog twee PowerShell-scripts op te halen, waarvan de eerste een Reconnaissance-hulpprogramma is dat in staat is om screenshots uit te voeren, het opdracht SystemInfo uit te voeren, details te krijgen van beveiligingssoftware die op de host draait, bestanden en mappen in desktop- en lijst-lopende processen.
Het tweede PowerShell -script is een verbeterde versie van Gammasteel, een bekende informatie -stealer die in staat is om bestanden van een slachtoffer te exfiltreren op basis van een extensie -toelage van de mappen van de desktop en documenten.
“Deze aanval markeert iets van een toename van verfijning voor Shuckworm, die minder bekwaam lijkt te zijn dan andere Russische acteurs, hoewel het dit compenseert met zijn niet -aflatende focus op doelen in Oekraïne,” zei Symantec.
“Hoewel de groep geen toegang lijkt te hebben tot dezelfde vaardigheden als sommige andere Russische groepen, lijkt Shuckworm nu te proberen dit te compenseren door continu kleine wijzigingen aan te brengen in de code die het gebruikt, obfuscatie toe te voegen en legitieme webservices te benutten, allemaal om het risico op detectie te proberen te verlagen.”
